Il Paradosso Cibernetico dell’Iran: APT Degradati, Proxies in Ascesa e Bootkit Wipers
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sintesi
L’attività informatica legata all’Iran si sta sempre più allontanando dai team APT consolidati verso operatori proxy che utilizzano wiper in stile bootkit, sfruttano una gamma crescente di CVE e accoppiano anche operazioni informatiche con interruzioni fisiche dell’infrastruttura cloud. Nuovi cluster tracciati come Rusty Boots e MoKhargosh hanno dimostrato una persistenza a livello di bootkit, mentre HYDRO KITTEN si è concentrato su PLC Rockwell e dispositivi di rete esposti a Internet attraverso metodi di intrusione basati su credenziali. Gli attacchi fisici contro i data center cloud nella regione del Golfo espandono ulteriormente il rischio in un dominio ibrido cyber-fisico. Il rapporto sottolinea l’importanza della validazione dell’integrità del firmware e del rilevamento basato sul comportamento negli ambienti OT.
Investigazione
Il rapporto evidenzia tre sviluppi principali. Primo, Rusty Boots e MoKhargosh hanno mostrato la capacità di distribuire wiper con persistenza in stile bootkit. Secondo, HYDRO KITTEN ha sfruttato molteplici CVE che colpiscono i sistemi Rockwell, FortiGate, SonicWall, Ivanti, PAN-OS e OpenSSH. Terzo, UNC6446 ha utilizzato malware personalizzato in C# e Golang, inclusi DUSTYPROXY e ERIESNAKE.GO, comunicanti su HTTP non criptato tunnelato attraverso la porta 443. Il rapporto fa anche riferimento ad attacchi fisici che bersagliano l’infrastruttura cloud in Bahrain e Dubai.
Mitigazione
Le organizzazioni dovrebbero applicare patch a tutti i CVE menzionati su firewall, beni OT e servizi SSH, mentre si deve imporre un avvio sicuro e controlli di integrità del firmware regolari. I team difensivi dovrebbero monitorare l’attività di scrittura su disco grezzo e le modifiche all’MBR o VBR, bloccare il traffico HTTP non criptato sulla porta 443, controllare le chiavi di esecuzione del registro per eseguibili sconosciuti e implementare un monitoraggio comportamentale OT per rilevare cambiamenti di setpoint PLC al di fuori dei periodi di manutenzione approvati.
Risposta
I difensori dovrebbero immediatamente bloccare tutti gli indirizzi IP, i domini e le hash dei file divulgati attraverso i controlli DNS, proxy e degli endpoint. Il contenuto di rilevamento dovrebbe essere distribuito per HTTP non criptato su TCP/443, i fallimenti dell’integrità dell’avvio sicuro, le nuove voci delle chiavi di esecuzione del registro e il comportamento sospetto di autenticazione dei PLC. La ricerca delle minacce dovrebbe concentrarsi sulle firme dei malware elencati nonché su segni di accesso pre-posizionato, inclusi lunghi periodi di inattività seguiti da operazioni improvvise correlate all’OT.
graph TB %% Definizione classi classDef technique fill:#e6f7ff classDef tool fill:#ffeb99 classDef malware fill:#ffcccc %% Nodi tecniche technique_valid_accounts[“<b>Tecnica</b> – T1078 Account validi<br/><b>Descrizione</b>: Uso di credenziali rubate o ottenute per ottenere accesso iniziale alle reti bersaglio.”] class technique_valid_accounts technique technique_exploit_remote[“<b>Tecnica</b> – T1210 Sfruttamento di servizi remoti<br/><b>Descrizione</b>: Sfruttamento di servizi vulnerabili (es. CVE-2021-26868, CVE-2024-0012, CVE-2024-5591) per movimento laterale e controllo dei sistemi.”] class technique_exploit_remote technique technique_persistence_registry[“<b>Tecnica</b> – T1547.001 Chiavi di esecuzione nel registro / cartella di avvio<br/><b>Descrizione</b>: Persistenza tramite chiavi Run in HKCU/HKLM o cartella di avvio.”] class technique_persistence_registry technique technique_c2_external_proxy[“<b>Tecnica</b> – T1090.002 Proxy esterno<br/><b>Descrizione</b>: Instradamento del traffico C2 tramite server proxy esterni per nascondere l’infrastruttura.”] class technique_c2_external_proxy technique technique_c2_web[“<b>Tecnica</b> – T1071.001 Protocolli web (HTTP/S)<br/><b>Descrizione</b>: Uso di HTTP/S su TCP/443 per comunicazioni C2.”] class technique_c2_web technique technique_execution_ps[“<b>Tecnica</b> – T1059.001 PowerShell<br/><b>Descrizione</b>: Uso di PowerShell per scaricare file, manipolare il sistema ed eseguire payload.”] class technique_execution_ps technique technique_remote_access[“<b>Tecnica</b> – T1219 Strumenti di accesso remoto<br/><b>Descrizione</b>: Distribuzione di backdoor che forniscono sessioni remote interattive.”] class technique_remote_access technique technique_credential_exploit[“<b>Tecnica</b> – T1212 Sfruttamento credenziali<br/><b>Descrizione</b>: Uso di credenziali rubate per autenticazione diretta sui dispositivi.”] class technique_credential_exploit technique technique_impact_preos[“<b>Tecnica</b> – T1542 Pre-OS Boot<br/><b>Descrizione</b>: Modifica dei componenti di avvio per ottenere impatto prima del sistema operativo.”] class technique_impact_preos technique technique_impact_data_destruction[“<b>Tecnica</b> – T1485 Distruzione dati<br/><b>Descrizione</b>: Corruzione o eliminazione di dati critici.”] class technique_impact_data_destruction technique technique_impact_disk_wipe[“<b>Tecnica</b> – T1561.001 Cancellazione disco<br/><b>Descrizione</b>: Sovrascrittura dei settori del disco per rendere il sistema inutilizzabile.”] class technique_impact_disk_wipe technique %% Strumenti e malware tool_dustyproxy[“<b>Strumento</b> – DUSTYPROXY<br/><b>Descrizione</b>: Client proxy in C# installato tramite chiavi Run del registro; inoltra traffico verso proxy esterni.”] class tool_dustyproxy tool malware_eriesnake_go[“<b>Malware</b> – ERIESNAKE.GO<br/><b>Descrizione</b>: Backdoor in Go che fornisce sessioni interattive, esegue PowerShell e comunica via HTTP/443.”] class malware_eriesnake_go malware malware_rusty_boots[“<b>Malware</b> – Rusty Boots<br/><b>Descrizione</b>: Wiper bootkit che sopravvive alla reinstallazione del sistema operativo e corrompe il boot.”] class malware_rusty_boots malware malware_mokhargosh[“<b>Malware</b> – MoKhargosh<br/><b>Descrizione</b>: Wiper basato su bootkit usato per rendere inutilizzabili sistemi industriali.”] class malware_mokhargosh malware %% Flusso technique_valid_accounts –>|porta a| technique_exploit_remote technique_exploit_remote –>|abilita| technique_persistence_registry technique_persistence_registry –>|usa| tool_dustyproxy tool_dustyproxy –>|installa| technique_persistence_registry tool_dustyproxy –>|instrada traffico a| technique_c2_external_proxy technique_c2_external_proxy –>|comunica tramite| technique_c2_web technique_c2_web –>|abilita| technique_execution_ps technique_execution_ps –>|avvia| malware_eriesnake_go malware_eriesnake_go –>|fornisce| technique_remote_access technique_remote_access –>|sfrutta| technique_credential_exploit technique_credential_exploit –>|porta a| technique_impact_preos technique_impact_preos –>|abilita| technique_impact_data_destruction technique_impact_data_destruction –>|causa| technique_impact_disk_wipe technique_impact_preos –>|implementato da| malware_rusty_boots technique_impact_preos –>|implementato da| malware_mokhargosh %% Stile class technique_valid_accounts,technique_exploit_remote,technique_persistence_registry,technique_c2_external_proxy,technique_c2_web,technique_execution_ps,technique_remote_access,technique_credential_exploit,technique_impact_preos,technique_impact_data_destruction,technique_impact_disk_wipe technique class tool_dustyproxy tool class malware_eriesnake_go,malware_rusty_boots,malware_mokhargosh malware
Flusso di Attacco
Rilevamenti
Punti di Persistenza Possibili [ASEPs – Software/NTUSER Hive] (via registro_eventi)
Visualizza
Possibile Enumerazione del Sistema (via cmdline)
Visualizza
Processo Sospetto che Imita il Processo di Sistema è Stato Eseguito (via cmdline)
Visualizza
Possibile Scoperta di Informazioni di Sistema Usando il Modulo Wmi Powershell (via powershell)
Visualizza
IOC (HashMd5) per rilevare: PARADOSSO CYBERNÉTICO IRANIANO: APT DEGRADATI, PROXY POTENZIATI E L’ASCESA DEI WIPER BOOTKIT
Visualizza
IOC (SourceIP) per rilevare: PARADOSSO CYBERNÉTICO IRANIANO: APT DEGRADATI, PROXY POTENZIATI E L’ASCESA DEI WIPER BOOTKIT
Visualizza
IOC (DestinationIP) per rilevare: PARADOSSO CYBERNÉTICO IRANIANO: APT DEGRADATI, PROXY POTENZIATI E L’ASCESA DEI WIPER BOOTKIT
Visualizza
Exploitation di HYDRO KITTEN di Rockwell RSLogix 5000 [Firewall]
Visualizza
Rileva Traffico HTTP Anomalo e Comportamento di Relay Proxy Indicato da Attività ERIESNAKE.GO e DUSTYPROXY [Proxy]
Visualizza
Rilevazione dell’Esecuzione di PowerShell di ERIESNAKE.GO da Processi Specifici [Windows Powershell]
Visualizza
Persistenza di DUSTYPROXY via Chiave di Esecuzione del Registro [Evento del Registro di Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria e Base deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrativa e Comandi dell’Attacco:
- Raccolta delle Credenziali (T1078) – L’attaccante, avendo compromesso un account di servizio a bassa priorità, ottiene le credenziali del servizio “Rockwell” da un archivio di credenziali non sicuro.
- Login Interattivo Remoto (T1078, LogonType 10) – Usando quelle credenziali, l’attaccante si connette alla workstation di gestione PLC di destinazione tramite RDP, generando un evento di accesso riuscito (EventID 4624, LogonType 10) che corrisponde alla regola
selezione1. - Tentativo di Sfruttamento (T1190 / T1542.003) – Mentre è collegato, l’attaccante esegue una richiesta HTTP manipolata contro il servizio web RSLogix 5000, innescando il bypass dell’autenticazione (CVE‑2021‑22681). Il servizio registra un evento di autenticazione fallita (EventID 4625) con una stringa di ragione del fallimento contenente “CVE‑2021‑22681”, soddisfacendo
selezione2. - Post-Sfruttamento (T1059.001, T1071.001, T1090.002) – Una shell inversa PowerShell viene stabilita attraverso un proxy esterno per scaricare il payload malevolo, ma questi passaggi non sono necessari per far scattare la regola.
-
Script per il Test di Regressione: Lo script qui sotto automatizza i passaggi 2 e 3 per produrre esattamente la telemetria.
# ============================== # Test di Exploitation di Hydro Kitten # ============================== # 1️⃣ Variabili – sostituire con i valori del proprio ambiente $targetHost = "10.0.0.50" # IP del server RSLogix $rockwellUser = "Rockwell" $rockwellPwd = "P@ssw0rd!" # Password conosciuta (o catturata) $proxyUrl = "http://proxy.example.com:8080" # 2️⃣ Stabilire una sessione interattiva remota (RDP) usando le credenziali Rockwell $secPwd = ConvertTo-SecureString $rockwellPwd -AsPlainText -Force $cred = New-Object System.Management.Automation.PSCredential ($rockwellUser, $secPwd) Write-Host "[*] Avvio sessione RDP a $targetHost con $rockwellUser..." # Start-Process crea una nuova sessione di accesso – questo genera EventID 4624 con LogonType 10 Start-Process -FilePath "mstsc.exe" -ArgumentList "/v:$targetHost" -Credential $cred Start-Sleep -Seconds 10 # Consentire il tempo affinché l'accesso venga registrato # 3️⃣ Attivare il tentativo di bypass dell'autenticazione CVE‑2021‑22681 $exploitUrl = "http://$targetHost/rslogix/rslogix.cgi?CVE-2021-22681=1" Write-Host "[*] Invio di richiesta malformata per attivare il rilevamento CVE..." Invoke-WebRequest -Uri $exploitUrl -Proxy $proxyUrl -Method GET -UseBasicParsing -ErrorAction SilentlyContinue Write-Host "[+] Richiesta di exploit inviata. Controllare il SIEM per EventID 4625 contenente 'CVE-2021-22681'." -
Comandi di Pulizia: Rimuovere la sessione RDP ed eventuali artefatti temporanei.
# Terminare il processo del client RDP Get-Process -Name mstsc -ErrorAction SilentlyContinue | Stop-Process -Force # (Opzionale) Cancellare la cronologia di PowerShell per ridurre l'impronta forense Clear-History