Aktor ancaman persisten tingkat lanjut (APT) Iran yang kemungkinan berafiliasi dengan Kementerian Intelijen dan Keamanan (MOIS) sekarang bertindak sebagai fasilitator akses awal yang menyediakan akses jarak jauh ke jaringan target.
Mandiant milik Google melacak klaster aktivitas dengan nama samaran UNC 1860 (UNC 1860)yang dikatakan memiliki kesamaan dengan rangkaian intrusi yang dilacak oleh Microsoft, Cisco Talos, dan Check Point sebagai Storm-0861 (sebelumnya DEV-0861), ShroudedSnooper, dan Scarred Manticore.
“Fitur utama UNC1860 adalah koleksi perkakas khusus dan pintu belakang pasif yang […] mendukung beberapa tujuan, termasuk perannya sebagai penyedia akses awal yang mungkin dan kemampuannya untuk memperoleh akses berkelanjutan ke jaringan berprioritas tinggi, seperti jaringan di pemerintahan dan sektor telekomunikasi di seluruh Timur Tengah,” kata perusahaan itu.
Kelompok ini pertama kali terungkap pada bulan Juli 2022 sehubungan dengan serangan siber yang merusak yang menargetkan Albania dengan jenis ransomware yang disebut ROADSWEEP, pintu belakang CHIMNEYSWEEP, dan varian wiper ZEROCLEAR (alias Cl Wiper), dengan intrusi berikutnya di Albania dan Israel memanfaatkan wiper baru yang dijuluki No-Justice dan BiBi (alias BABYWIPER).
Mandiant menggambarkan UNC1860 sebagai “aktor ancaman tangguh” yang memelihara gudang pintu belakang pasif yang dirancang untuk mendapatkan pijakan ke jaringan korban dan menyiapkan akses jangka panjang tanpa menarik perhatian.
Di antara alat tersebut terdapat dua pengendali malware yang dioperasikan GUI yang dilacak sebagai TEMPLEPLAY dan VIROGREEN, yang dikatakan memberi pelaku ancaman terkait MOIS lainnya akses jarak jauh ke lingkungan korban menggunakan protokol desktop jarak jauh (RDP).
Secara khusus, pengontrol ini dirancang untuk menyediakan antarmuka bagi operator pihak ketiga yang menawarkan petunjuk tentang cara muatan khusus dapat disebarkan dan aktivitas pasca-eksploitasi seperti pemindaian internal dapat dilakukan dalam jaringan target.
Mandiant mengatakan pihaknya mengidentifikasi tumpang tindih antara UNC1860 dan APT34 (alias Hazel Sandstorm, Helix Kitten, dan OilRig) karena organisasi yang disusupi oleh APT34 pada tahun 2019 dan 2020 sebelumnya telah disusupi oleh UNC1860, dan sebaliknya. Lebih jauh, kedua klaster tersebut telah diamati beralih ke target yang berbasis di Irak, seperti yang baru-baru ini disorot oleh Check Point.
Rangkaian serangan tersebut melibatkan pemanfaatan akses awal yang diperoleh melalui eksploitasi oportunistik terhadap server yang menghadap internet yang rentan untuk menjatuhkan web shell dan dropper seperti STAYSHANTE dan SASHEYAWAY, yang mana yang terakhir mengarah pada eksekusi implan, seperti TEMPLEDOOR, FACEFACE, dan SPARKLOAD, yang tertanam di dalamnya.
“VIROGREEN adalah kerangka kerja khusus yang digunakan untuk mengeksploitasi server SharePoint yang rentan dengan CVE-2019-0604,” kata para peneliti, seraya menambahkan bahwa kerangka kerja tersebut mengendalikan STAYSHANTE, beserta pintu belakang yang disebut BASEWALK.
“Kerangka kerja ini menyediakan kemampuan pasca-eksploitasi termasuk […] mengendalikan muatan pasca-eksploitasi, pintu belakang (termasuk web shell STAYSHANTE dan pintu belakang BASEWALK) dan penugasan; mengendalikan agen yang kompatibel tanpa mempedulikan bagaimana agen tersebut ditanamkan; dan mengeksekusi perintah serta mengunggah/mengunduh berkas.
TEMPLEPLAY (yang secara internal bernama Client Http), berfungsi sebagai pengontrol berbasis .NET untuk TEMPLEDOOR. Ia mendukung instruksi backdoor untuk menjalankan perintah melalui cmd.exe, mengunggah/mengunduh file dari dan ke host yang terinfeksi, dan koneksi proxy ke server target.
Diyakini bahwa musuh memiliki beragam koleksi alat pasif dan pintu belakang panggung utama yang selaras dengan tujuan akses awal, pergerakan lateral, dan pengumpulan informasi.
Beberapa alat lain yang perlu diperhatikan yang didokumentasikan oleh Mandiant tercantum di bawah ini –
- OATBOAT, loader yang memuat dan mengeksekusi muatan shellcode
- TOFUDRV, driver Windows berbahaya yang tumpang tindih dengan WINTAPIX
- TOFULOAD, implan pasif yang menggunakan perintah Input/Output Control (IOCTL) yang tidak terdokumentasi untuk komunikasi
- TEMPLEDROP, versi yang diubah dari driver filter sistem file Windows perangkat lunak antivirus Iran bernama Sheed AV yang digunakan untuk melindungi file yang disebarkan dari modifikasi
- TEMPLELOCK, utilitas penghindaran pertahanan .NET yang mampu mematikan layanan Log Peristiwa Windows
- TUNNELBOI, pengontrol jaringan yang mampu membuat koneksi dengan host jarak jauh dan mengelola koneksi RDP
“Seiring dengan terus meningkatnya ketegangan di Timur Tengah, kami percaya bahwa kecakapan pelaku ini dalam memperoleh akses awal ke lingkungan target merupakan aset berharga bagi ekosistem siber Iran yang dapat dimanfaatkan untuk menjawab berbagai sasaran yang terus berkembang seiring dengan perubahan kebutuhan,” kata peneliti Stav Shulman, Matan Mimran, Sarah Bock, dan Mark Lechtik.
Perkembangan ini terjadi saat pemerintah AS mengungkap upaya berkelanjutan para aktor ancaman Iran untuk memengaruhi dan merusak pemilu AS mendatang dengan mencuri materi non-publik dari kampanye mantan Presiden Donald Trump.
“Pelaku siber jahat Iran pada akhir Juni dan awal Juli mengirim email yang tidak diminta ke sejumlah individu yang saat itu terkait dengan kampanye Presiden Biden. Email tersebut berisi kutipan dari materi yang dicuri dan tidak bersifat publik dari kampanye mantan Presiden Trump sebagai teks dalam email tersebut,” kata pemerintah.
“Saat ini tidak ada informasi yang menunjukkan penerima tersebut membalas. Lebih jauh, pelaku kejahatan siber Iran telah melanjutkan upaya mereka sejak Juni untuk mengirim materi yang dicuri dan tidak bersifat publik yang terkait dengan kampanye mantan Presiden Trump ke organisasi media AS.”
Peningkatan operasi siber Iran terhadap negara-negara yang dianggap sebagai pesaingnya juga terjadi pada saat negara tersebut semakin aktif di kawasan Timur Tengah.
Akhir bulan lalu, Badan Keamanan Siber dan Infrastruktur AS (CISA) memperingatkan bahwa APT Lemon Sandstorm Iran (alias Fox Kitten) telah melakukan serangan ransomware dengan secara diam-diam bermitra dengan kelompok NoEscape, RansomHouse, dan BlackCat (alias ALPHV).
Analisis Censys terhadap infrastruktur serangan kelompok peretas tersebut telah mengungkap host lain yang saat ini aktif, yang kemungkinan menjadi bagiannya berdasarkan kesamaan berdasarkan geolokasi, Nomor Sistem Otonom (ASN), dan pola port dan sertifikat digital yang identik.
“Meskipun ada upaya mengaburkan, mengalihkan, dan mengacak-acak, manusia masih harus membuat, mengoperasikan, dan menonaktifkan infrastruktur digital,” kata Matt Lembright dari Censys.
“Manusia-manusia itu, bahkan jika mereka bergantung pada teknologi untuk menciptakan pengacakan, hampir selalu akan mengikuti beberapa jenis pola, baik itu Sistem Otonom yang serupa, geolokasi, penyedia hosting, perangkat lunak, distribusi port, atau karakteristik sertifikat.”