SOC Prime Bias: Critical

03 Jun 2026 16:32 UTC

Il Paradosso Cibernetico dell’Iran: APT Degradati, Proxies in Ascesa e Bootkit Wipers

Author Photo
SOC Prime Team linkedin icon Segui
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sintesi

L’attività informatica legata all’Iran si sta sempre più allontanando dai team APT consolidati verso operatori proxy che utilizzano wiper in stile bootkit, sfruttano una gamma crescente di CVE e accoppiano anche operazioni informatiche con interruzioni fisiche dell’infrastruttura cloud. Nuovi cluster tracciati come Rusty Boots e MoKhargosh hanno dimostrato una persistenza a livello di bootkit, mentre HYDRO KITTEN si è concentrato su PLC Rockwell e dispositivi di rete esposti a Internet attraverso metodi di intrusione basati su credenziali. Gli attacchi fisici contro i data center cloud nella regione del Golfo espandono ulteriormente il rischio in un dominio ibrido cyber-fisico. Il rapporto sottolinea l’importanza della validazione dell’integrità del firmware e del rilevamento basato sul comportamento negli ambienti OT.

Investigazione

Il rapporto evidenzia tre sviluppi principali. Primo, Rusty Boots e MoKhargosh hanno mostrato la capacità di distribuire wiper con persistenza in stile bootkit. Secondo, HYDRO KITTEN ha sfruttato molteplici CVE che colpiscono i sistemi Rockwell, FortiGate, SonicWall, Ivanti, PAN-OS e OpenSSH. Terzo, UNC6446 ha utilizzato malware personalizzato in C# e Golang, inclusi DUSTYPROXY e ERIESNAKE.GO, comunicanti su HTTP non criptato tunnelato attraverso la porta 443. Il rapporto fa anche riferimento ad attacchi fisici che bersagliano l’infrastruttura cloud in Bahrain e Dubai.

Mitigazione

Le organizzazioni dovrebbero applicare patch a tutti i CVE menzionati su firewall, beni OT e servizi SSH, mentre si deve imporre un avvio sicuro e controlli di integrità del firmware regolari. I team difensivi dovrebbero monitorare l’attività di scrittura su disco grezzo e le modifiche all’MBR o VBR, bloccare il traffico HTTP non criptato sulla porta 443, controllare le chiavi di esecuzione del registro per eseguibili sconosciuti e implementare un monitoraggio comportamentale OT per rilevare cambiamenti di setpoint PLC al di fuori dei periodi di manutenzione approvati.

Risposta

I difensori dovrebbero immediatamente bloccare tutti gli indirizzi IP, i domini e le hash dei file divulgati attraverso i controlli DNS, proxy e degli endpoint. Il contenuto di rilevamento dovrebbe essere distribuito per HTTP non criptato su TCP/443, i fallimenti dell’integrità dell’avvio sicuro, le nuove voci delle chiavi di esecuzione del registro e il comportamento sospetto di autenticazione dei PLC. La ricerca delle minacce dovrebbe concentrarsi sulle firme dei malware elencati nonché su segni di accesso pre-posizionato, inclusi lunghi periodi di inattività seguiti da operazioni improvvise correlate all’OT.

Flusso di Attacco

Rilevamenti

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Base deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrativa e Comandi dell’Attacco:

    1. Raccolta delle Credenziali (T1078) – L’attaccante, avendo compromesso un account di servizio a bassa priorità, ottiene le credenziali del servizio “Rockwell” da un archivio di credenziali non sicuro.
    2. Login Interattivo Remoto (T1078, LogonType 10) – Usando quelle credenziali, l’attaccante si connette alla workstation di gestione PLC di destinazione tramite RDP, generando un evento di accesso riuscito (EventID 4624, LogonType 10) che corrisponde alla regola selezione1.
    3. Tentativo di Sfruttamento (T1190 / T1542.003) – Mentre è collegato, l’attaccante esegue una richiesta HTTP manipolata contro il servizio web RSLogix 5000, innescando il bypass dell’autenticazione (CVE‑2021‑22681). Il servizio registra un evento di autenticazione fallita (EventID 4625) con una stringa di ragione del fallimento contenente “CVE‑2021‑22681”, soddisfacendo selezione2.
    4. Post-Sfruttamento (T1059.001, T1071.001, T1090.002) – Una shell inversa PowerShell viene stabilita attraverso un proxy esterno per scaricare il payload malevolo, ma questi passaggi non sono necessari per far scattare la regola.
  • Script per il Test di Regressione: Lo script qui sotto automatizza i passaggi 2 e 3 per produrre esattamente la telemetria.

    # ==============================
    # Test di Exploitation di Hydro Kitten
    # ==============================
    
    # 1️⃣ Variabili – sostituire con i valori del proprio ambiente
    $targetHost   = "10.0.0.50"               # IP del server RSLogix
    $rockwellUser = "Rockwell"
    $rockwellPwd  = "P@ssw0rd!"               # Password conosciuta (o catturata)
    $proxyUrl     = "http://proxy.example.com:8080"
    
    # 2️⃣ Stabilire una sessione interattiva remota (RDP) usando le credenziali Rockwell
    $secPwd = ConvertTo-SecureString $rockwellPwd -AsPlainText -Force
    $cred   = New-Object System.Management.Automation.PSCredential ($rockwellUser, $secPwd)
    
    Write-Host "[*] Avvio sessione RDP a $targetHost con $rockwellUser..."
    # Start-Process crea una nuova sessione di accesso – questo genera EventID 4624 con LogonType 10
    Start-Process -FilePath "mstsc.exe" -ArgumentList "/v:$targetHost" -Credential $cred
    
    Start-Sleep -Seconds 10   # Consentire il tempo affinché l'accesso venga registrato
    
    # 3️⃣ Attivare il tentativo di bypass dell'autenticazione CVE‑2021‑22681
    $exploitUrl = "http://$targetHost/rslogix/rslogix.cgi?CVE-2021-22681=1"
    
    Write-Host "[*] Invio di richiesta malformata per attivare il rilevamento CVE..."
    Invoke-WebRequest -Uri $exploitUrl -Proxy $proxyUrl -Method GET -UseBasicParsing -ErrorAction SilentlyContinue
    
    Write-Host "[+] Richiesta di exploit inviata. Controllare il SIEM per EventID 4625 contenente 'CVE-2021-22681'."
  • Comandi di Pulizia: Rimuovere la sessione RDP ed eventuali artefatti temporanei.

    # Terminare il processo del client RDP
    Get-Process -Name mstsc -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # (Opzionale) Cancellare la cronologia di PowerShell per ridurre l'impronta forense
    Clear-History