Check Point revela novas técnicas utilizadas por grupo APT iraniano

A Check Point Research (CPR) revelou novas descobertas de um grupo estreitamente relacionado com o Phosphorus. Esta investigação apresenta uma nova e melhorada cadeia de infeção utilizada pelos atacantes.

Ao seguir o rasto do ataque, a CPR conseguiu estabelecer ligações com o Phosphorus, um grupo de ameaça sediado no Irão que opera tanto na América do Norte como no Médio Oriente. O Phosphorus foi anteriormente associado a um amplo espetro de atividade, que vai desde o ransomware ao spear-phishing.

Nos ataques detalhados no mais recente relatório da Check Point Research, a empresa revela que o ator da ameaça melhorou significativamente os seus mecanismos e adotou técnicas raramente vistas, tais como a utilização de ficheiros binários .NET, criados em modo misto com código de montagem. A versão recentemente descoberta destina-se provavelmente a ataques de phishing centrados nas zonas à volta do Iraque, utilizando um ficheiro ISO para iniciar a cadeia de infeção. Outros documentos dentro do ficheiro ISO estavam em língua hebraica e árabe, sugerindo que se destinavam a alvos israelitas. A CPR decidiu nomear este cibergrupo de Educated Manticore.

“No nosso estudo, demonstramos a evolução contínua das capacidades dos atores do estado iraniano. À semelhança da forma como os cibercriminosos adaptam as suas cadeias de infeção para se manterem a par das mudanças nos ecossistemas, estes atores também utilizam ficheiros ISO para contornar as novas restrições à utilização maliciosa de ficheiros Office. Juntamente com as cadeias de infeção, as ferramentas utilizadas por este agente de ameaça em particular também melhoraram, indicando o investimento consistente do Irão na melhoria das suas capacidades cibernéticas”, refere Sergey Shykevich, Threat Group Manager da Check Point Software.

Desde 2021 que um novo grupo de atividade, com laços claros com o Irão, chamou a atenção da comunidade de Threat Intelligence, diz a Check Point, em comunicado. A natureza agressiva da nova ameaça, juntamente com as suas ligações a ransomware de implementação, levou a uma análise aprofundada das suas atividades.

À medida que a atividade evoluía, os laços entre os diferentes aglomerados tornavam-se mais difíceis de resolver. Embora os dois extremos no espetro dessas atividades sejam significativamente diferentes, nunca a comunidade de Threat Intelligence tropeçou numa atividade que não se encaixa facilmente nos aglomerados conhecidos. O relatório anterior da CPR descreveu uma dessas amostras e as sobreposições entre a atividade de exploração Log4J a uma aplicação Android anteriormente ligada à APT35.

A variante mencionada foi entregue utilizando ficheiros ISO, indicando que provavelmente se destina a ser o vetor inicial de infeção. Por ser uma versão atualizada do malware previamente reportado, esta variante (PowerLess), associada a algumas das operações de ransomware do Phosphorus, pode representar apenas as fases iniciais da infeção, com frações significativas de atividade pós-infeção ainda por observar.