Δίκτυα στόχευσης και οργανισμοί υποδομής ζωτικής σημασίας ιρανικού έθνους-κράτους APT

Φορείς απειλών που χρηματοδοτούνται από το Ιράν, που συνήθως παρακολουθούνται ως «Πρίγκιπας της Περσίας», επανεμφανίστηκαν με μια εξελιγμένη εκστρατεία κυβερνοκατασκοπείας που στοχεύει σε παγκόσμια κρίσιμης σημασίας υποδομές και ιδιωτικά δίκτυα.

Ενεργός από τις αρχές της δεκαετίας του 2000, αυτή η ομάδα ανέπτυξε πρόσφατα ενημερωμένες παραλλαγές κακόβουλου λογισμικού για να διεισδύσει σε οργανωτικά συστήματα και να διεισδύσει σε ευαίσθητες πληροφορίες.

Οι πιο πρόσφατες επιχειρήσεις τους καταδεικνύουν σημαντική εξέλιξη στην τεχνική επάρκεια, χρησιμοποιώντας νέες τεχνικές αποφυγής και αποκεντρωμένες υποδομές διοίκησης και ελέγχου (C2) για να παρακάμψουν τις σύγχρονες άμυνες ασφαλείας.

Οι εισβολείς ξεκινούν κυρίως μολύνσεις μέσω κακόβουλων αρχείων του Microsoft Excel που περιέχουν ενσωματωμένα εκτελέσιμα, σηματοδοτώντας μια τακτική αλλαγή από την προηγούμενη εξάρτησή τους από έγγραφα με δυνατότητα μακροεντολής.

Αυτά τα αρχεία, συχνά μεταμφιεσμένα ως καλοήθεις διοικητικές ενημερώσεις ή τοπικές ειδήσεις, έχουν σχεδιαστεί για να αποφεύγουν τις τυπικές μηχανές ανίχνευσης ιών.

Μόλις ένα θύμα αλληλεπιδράσει με το αρχείο, το κακόβουλο λογισμικό απορρίπτει ένα αρχείο αυτοεξαγωγής που εγκαθιστά σιωπηλά την κερκόπορτα Foudre, δημιουργώντας μια αρχική βάση μέσα στο παραβιασμένο δίκτυο.

Αναλυτές SafeBreach αναγνωρισθείς αυτή η δραστηριότητα ανανεώθηκε μετά από μια τριετή περίοδο αδράνειας, επισημαίνοντας τη μετάβαση του ομίλου σε πιο ανθεκτικές πρακτικές επιχειρησιακής ασφάλειας.

Η έρευνά τους ανέδειξε τη χρήση από την ομάδα διαφορετικών οικογενειών κακόβουλου λογισμικού, των Foudre και Tonnerre, τα οποία διαθέτουν πλέον προηγμένες δυνατότητες για επιμονή και κλοπή δεδομένων.

Η έρευνα συνέδεσε επίσης την επιχείρηση με ένα συγκεκριμένο πρόσωπο, το «Ehsan», που προτείνει μια κεντρική και ανθρώπινη διαχείριση της υποδομής της εκστρατείας.

Τεχνική Ανάλυση Λοίμωξης και Επικοινωνία C2

Η τεχνική πολυπλοκότητα αυτής της καμπάνιας είναι πιο εμφανής στην ανάπτυξη των Foudre v34 και Tonnerre v50.

Το Foudre v34 χρησιμοποιεί μια πολύπλοκη διαδικασία φόρτωσης πολλαπλών σταδίων όπου ένα DLL φορτωτή, που προσδιορίζεται ως Conf8830.dllεκτελεί μια συγκεκριμένη εξαγόμενη συνάρτηση με όνομα f8qb1355.

Αυτή η συνάρτηση καλεί ένα μεταμφιεσμένο αρχείο DLL, d232το οποίο μεταμφιέζεται σε αρχείο βίντεο MP4 για να παραπλανήσει τόσο τους χρήστες όσο και τα αυτοματοποιημένα εργαλεία ασφαλείας.

Μετά την επιτυχή εκτέλεση, το κακόβουλο λογισμικό δημιουργεί επιμονή και ξεκινά την επικοινωνία με διακομιστές C2 χρησιμοποιώντας ένα όνομα τομέα που δημιουργήθηκε.

Η λογική του αλγόριθμου δημιουργίας τομέα (DGA) είναι ιδιαίτερα διακριτή, χωρίζοντας τη διαδικασία σε δύο φάσεις. Η πρώτη φάση υπολογίζει ένα άθροισμα ελέγχου CRC32 με βάση μια συμβολοσειρά μορφοποιημένη με ημερομηνία, όπως π.χ LOS1{}{}{}.format(date.year, date.month, weeknumber).

Η δεύτερη φάση μετατρέπει αυτήν την έξοδο σε ένα μοναδικό όνομα κεντρικού υπολογιστή οκτώ χαρακτήρων. Επιπλέον, η παραλλαγή Tonnerre v50 εισάγει έναν μοναδικό μηχανισμό ανακατεύθυνσης που περιλαμβάνει το Telegram.

Αντί για τα παραδοσιακά πρωτόκολλα FTP, το κακόβουλο λογισμικό επικοινωνεί με ένα bot Telegram για να λαμβάνει εντολές.

Η επικοινωνία C2 βασίζεται σε συγκεκριμένα αιτήματα HTTP GET για την επικύρωση μηχανών-θύμα. Το Foudre v34 στέλνει ένα μοναδικό αναγνωριστικό στον διακομιστή χρησιμοποιώντας την ακόλουθη δομή:

https:///1/?c=&u=&v=

Αυτός ο λεπτομερής έλεγχος επιτρέπει στους επιτιθέμενους να αναβαθμίσουν ή να αφαιρέσουν επιλεκτικά τις μολύνσεις, διασφαλίζοντας ότι οι δραστηριότητές τους παραμένουν απαρατήρητες, διατηρώντας παράλληλα μακροπρόθεσμη πρόσβαση σε στόχους υψηλής αξίας.