Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зв’язана з Іраном кібердіяльність все частіше відходить від усталених команд APT і переходить до проксі-операторів, які використовують вайпери в стилі буткітів, експлуатують широкий спектр CVE і навіть поєднують кібероперації з фізичним порушенням хмарної інфраструктури. Нові відстежувані кластери, такі як Rusty Boots і MoKhargosh, продемонстрували стійкість рівня буткіту, в той час як HYDRO KITTEN зосередився на Rockwell PLC та мережевих пристроях з відкритим доступом через методи вторгнення на основі облікових даних. Фізичні удари по хмарним центрам даних у регіоні Перської затоки ще більше розширюють ризик у гібридну кіберфізичну площину. Звіт підкреслює важливість перевірки цілісності мікропрограм і детекції на основі поведінки в OT-середовищах.
Дослідження
Звіт підкреслює три головні зміни. По-перше, Rusty Boots і MoKhargosh показали здатність використовувати вайпери зі стійкістю в стилі буткітів. По-друге, HYDRO KITTEN експлуатував кілька CVE, які впливають на системи Rockwell, FortiGate, SonicWall, Ivanti, PAN-OS та OpenSSH. По-третє, UNC6446 використовував призначену для користувача C# і Golang шкідливе ПЗ, включаючи DUSTYPROXY та ERIESNAKE.GO, які комунікують через незашифрований HTTP, туннельованований через порт 443. У звіті також згадуються фізичні напади, що націлені на хмарну інфраструктуру в Бахрейні та Дубаї.
Захист
Організаціям слід патчити всі згадані CVE на файрволах, OT активах та SSH сервісах, забезпечуючи безпечне завантаження та регулярну перевірку цілісності мікропрограм. Захисні команди повинні моніторити активність запису на жорсткий диск і зміни в MBR або VBR, блокувати незашифрований HTTP-трафік через порт 443, перевіряти ключі запуску реєстру на предмет незнайомих виконуваних файлів і впроваджувати моніторинг поведінки OT для виявлення змін установок PLC поза схваленими періодами обслуговування.
Реакція
Захисники повинні негайно блокувати всі розкриті IP-адреси, домени та геші файлів у DNS, проксі-сервісі та засобах кінцевих точок. Слід розгорнути зміст для виявлення незашифрованого HTTP через TCP/443, помилки цілісності безпечного завантаження, нові записи ключів запуску реєстру та підозрілу поведінку автентифікації PLC. Полювання на загрози має сфокусуватися на вказаних сигнатурах шкідливих програм, а також на ознаках попередньо позиціонованого доступу, включаючи тривалі періоди неактивності, які змінюються на раптові OT-пов’язані операції.
graph TB %% Визначення класів classDef technique fill:#e6f7ff classDef tool fill:#ffeb99 classDef malware fill:#ffcccc %% Вузли технік technique_valid_accounts[“<b>Техніка</b> – T1078 Дійсні облікові записи<br/><b>Опис</b>: Використання викрадених або отриманих облікових даних для початкового доступу до цільових мереж.”] class technique_valid_accounts technique technique_exploit_remote[“<b>Техніка</b> – T1210 Експлуатація віддалених сервісів<br/><b>Опис</b>: Використання вразливих сервісів (напр. CVE-2021-26868, CVE-2024-0012, CVE-2024-5591) для латерального переміщення та контролю систем.”] class technique_exploit_remote technique technique_persistence_registry[“<b>Техніка</b> – T1547.001 Ключі автозапуску реєстру / папка автозавантаження<br/><b>Опис</b>: Забезпечення стійкості через Run-ключі HKCU/HKLM або папку автозавантаження.”] class technique_persistence_registry technique technique_c2_external_proxy[“<b>Техніка</b> – T1090.002 Зовнішній проксі<br/><b>Опис</b>: Маршрутизація C2-трафіку через зовнішні проксі-сервери для приховування інфраструктури.”] class technique_c2_external_proxy technique technique_c2_web[“<b>Техніка</b> – T1071.001 Веб-протоколи (HTTP/S)<br/><b>Опис</b>: Використання HTTP/S через TCP/443 для C2-комунікації.”] class technique_c2_web technique technique_execution_ps[“<b>Техніка</b> – T1059.001 PowerShell<br/><b>Опис</b>: Використання PowerShell для завантаження, модифікації системи та запуску корисних навантажень.”] class technique_execution_ps technique technique_remote_access[“<b>Техніка</b> – T1219 Засоби віддаленого доступу<br/><b>Опис</b>: Розгортання бекдорів, що надають інтерактивні віддалені сесії.”] class technique_remote_access technique technique_credential_exploit[“<b>Техніка</b> – T1212 Використання облікових даних<br/><b>Опис</b>: Використання викрадених облікових даних для прямої автентифікації на пристроях.”] class technique_credential_exploit technique technique_impact_preos[“<b>Техніка</b> – T1542 Завантаження до ОС (Pre-OS)<br/><b>Опис</b>: Модифікація компонентів завантаження для впливу до старту операційної системи.”] class technique_impact_preos technique technique_impact_data_destruction[“<b>Техніка</b> – T1485 Знищення даних<br/><b>Опис</b>: Пошкодження або видалення критичних даних.”] class technique_impact_data_destruction technique technique_impact_disk_wipe[“<b>Техніка</b> – T1561.001 Стирання диска<br/><b>Опис</b>: Перезапис секторів диска, що робить систему непридатною.”] class technique_impact_disk_wipe technique %% Інструменти та шкідливе ПЗ tool_dustyproxy[“<b>Інструмент</b> – DUSTYPROXY<br/><b>Опис</b>: C#-проксі клієнт, встановлений через Run-ключі реєстру; переспрямовує трафік через зовнішні проксі.”] class tool_dustyproxy tool malware_eriesnake_go[“<b>Шкідливе ПЗ</b> – ERIESNAKE.GO<br/><b>Опис</b>: Go-бекдор, що надає інтерактивні сесії, виконує PowerShell і використовує HTTP/443 для зв’язку.”] class malware_eriesnake_go malware malware_rusty_boots[“<b>Шкідливе ПЗ</b> – Rusty Boots<br/><b>Опис</b>: Bootkit-wiper, що зберігається після перевстановлення ОС і пошкоджує завантажувальний сектор.”] class malware_rusty_boots malware malware_mokhargosh[“<b>Шкідливе ПЗ</b> – MoKhargosh<br/><b>Опис</b>: Bootkit-wiper, який робить промислові системи непридатними до роботи.”] class malware_mokhargosh malware %% Потік technique_valid_accounts –>|призводить до| technique_exploit_remote technique_exploit_remote –>|дозволяє| technique_persistence_registry technique_persistence_registry –>|використовує| tool_dustyproxy tool_dustyproxy –>|встановлює| technique_persistence_registry tool_dustyproxy –>|перенаправляє трафік до| technique_c2_external_proxy technique_c2_external_proxy –>|комунікує через| technique_c2_web technique_c2_web –>|забезпечує| technique_execution_ps technique_execution_ps –>|запускає| malware_eriesnake_go malware_eriesnake_go –>|надає| technique_remote_access technique_remote_access –>|експлуатує| technique_credential_exploit technique_credential_exploit –>|призводить до| technique_impact_preos technique_impact_preos –>|активує| technique_impact_data_destruction technique_impact_data_destruction –>|спричиняє| technique_impact_disk_wipe technique_impact_preos –>|реалізовано через| malware_rusty_boots technique_impact_preos –>|реалізовано через| malware_mokhargosh %% Стиль class technique_valid_accounts,technique_exploit_remote,technique_persistence_registry,technique_c2_external_proxy,technique_c2_web,technique_execution_ps,technique_remote_access,technique_credential_exploit,technique_impact_preos,technique_impact_data_destruction,technique_impact_disk_wipe technique class tool_dustyproxy tool class malware_eriesnake_go,malware_rusty_boots,malware_mokhargosh malware
Потік атаки
Виявлення
Можливі точки стійкості [ASEPs – Програмне забезпечення/Вулик NTUSER] (через registry_event)
Переглянути
Можливе перерахування систем (через cmdline)
Переглянути
Виконано підозрілий процес, що імітує системний процес (через cmdline)
Переглянути
Можливе виявлення системної інформації з використанням модуля WMI Powershell (через powershell)
Переглянути
IOC (HashMd5) для виявлення: ІРАНСЬКИЙ КІБЕРПАРАДОКС: ЗНИЖЕННЯ APT, РОЗШИРЕННІ ПРОКСІ ТА ПОЯВА ВАЙПЕРІВ У СТИЛІ БУТКІТІВ
Переглянути
IOC (SourceIP) для виявлення: ІРАНСЬКИЙ КІБЕРПАРАДОКС: ЗНИЖЕННЯ APT, РОЗШИРЕННІ ПРОКСІ ТА ПОЯВА ВАЙПЕРІВ У СТИЛІ БУТКІТІВ
Переглянути
IOC (DestinationIP) для виявлення: ІРАНСЬКИЙ КІБЕРПАРАДОКС: ЗНИЖЕННЯ APT, РОЗШИРЕННІ ПРОКСІ ТА ПОЯВА ВАЙПЕРІВ У СТИЛІ БУТКІТІВ
Переглянути
Експлуатація ROCKWELL RSLOGIX 5000 [Фаєрвол] HYDRO KITTEN
Переглянути
Виявлення аномального HTTP-трафіку та поведінки проксі-ретрансляторів, що вказують на активність ERIESNAKE.GO та DUSTYPROXY [Proxy]
Переглянути
Виявлення виконання PowerShell ERIESNAKE.GO спеціальними процесами [Powershell Windows]
Переглянути
Стійкість DUSTYPROXY через ключ запуску реєстру [Подія реєстру Windows]
Переглянути
Виконання симуляції
Передумова: Перевірка телеметрії та базових характеристик повинна пройти успішно.
Пояснення: Цей розділ детально описує точне виконання техніки супротивника (TTP), розробленої для виклику правила виявлення. Команди та наратив ПОВИННІ прямо відображати ідентифіковані TTP та спрямовані на генерацію точної телеметрії, яку очікує логіка виявлення. Абстрактні або невідповідні приклади призведуть до неправильної діагностики.
-
Наратив атаки та команди:
- Збирання облікових даних (T1078) – Атакуючий, скомпрометувавши обліковий запис з низькими привілеями, отримує облікові дані сервісу “Rockwell” з небезпечного сховища облікових даних.
- Віддалений інтерактивний вхід в систему (T1078, LogonType 10) – Використовуючи ці облікові дані, атакуючий підключається до робочої станції управління PLC через RDP, генеруючи успішний вхід в систему (EventID 4624, LogonType 10), що відповідає правилу
вибірка1. - Спроба експлуатації (T1190 / T1542.003) – Увійшовши в систему, атакуючий виконує сформульований HTTP-запит до веб-сервісу RSLogix 5000, викликавши обхід аутентифікації (CVE‑2021‑22681). Сервіс фіксує подію невдалої аутентифікації (EventID 4625) з рядком про невдачу, що містить “CVE‑2021‑22681”, задовольняючи
вибірка2. - Післяексплуатація (T1059.001, T1071.001, T1090.002) – Встановлюється зворотній PowerShell shell через зовнішній проксі для завантаження шкідливого ПЗ, але ці кроки не потрібні для спрацювання правила.
-
Скрипт регресійного тесту:Скрипт нижче автоматизує кроки 2 та 3 для отримання точної телеметрії.
# ============================== # Тест експлуатації HYDRO KITTEN # ============================== # 1️⃣ Змінні – змініть на значення вашого середовища $targetHost = "10.0.0.50" # IP адреса сервера RSLogix $rockwellUser = "Rockwell" $rockwellPwd = "P@ssw0rd!" # Відома (або захоплена) пароль $proxyUrl = "http://proxy.example.com:8080" # 2️⃣ Встановіть віддалений інтерактивний сеанс (RDP) за допомогою облікових даних Rockwell $secPwd = ConvertTo-SecureString $rockwellPwd -AsPlainText -Force $cred = New-Object System.Management.Automation.PSCredential ($rockwellUser, $secPwd) Write-Host "[*] Починаємо сеанс RDP з $targetHost з $rockwellUser..." # Start-Process створює новий вхідний сеанс – це генерує EventID 4624 з LogonType 10 Start-Process -FilePath "mstsc.exe" -ArgumentList "/v:$targetHost" -Credential $cred Start-Sleep -Seconds 10 # Надати час для запису входу # 3️⃣ Запустіть спробу обходу аутентифікації CVE‑2021‑22681 $exploitUrl = "http://$targetHost/rslogix/rslogix.cgi?CVE-2021-22681=1" Write-Host "[*] Відправлення помилкового запиту для виклику CVE виявлення..." Invoke-WebRequest -Uri $exploitUrl -Proxy $proxyUrl -Method GET -UseBasicParsing -ErrorAction SilentlyContinue Write-Host "[+] Запит на експлуатацію відправлений. Перевірте SIEM на наявність EventID 4625, що містить 'CVE-2021-22681'." -
Команди очищення:Видаліть сеанс RDP та будь-які тимчасові артефакти.
# Закрийте процес клієнта RDP Get-Process -Name mstsc -ErrorAction SilentlyContinue | Stop-Process -Force # (Додатково) Очистіть історію PowerShell для зменшення судово-медичного сліду Clear-History