SOC Prime Bias: Critical

03 Jun 2026 16:20 UTC

O Paradoxo Cibernético do Irã: APTs Degradados, Proxies em Ascensão e Wipers Bootkit

Author Photo
SOC Prime Team linkedin icon Seguir
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

A atividade cibernética ligada ao Irã está cada vez mais se afastando das equipes APT estabelecidas e se aproximando de operadores proxy que usam apagadores estilo bootkit, exploram uma gama crescente de CVEs e até mesmo combinam operações cibernéticas com a interrupção física da infraestrutura de nuvem. Novos grupos rastreados, como Rusty Boots e MoKhargosh, demonstraram persistência em nível de bootkit, enquanto HYDRO KITTEN tem se concentrado em PLCs Rockwell e dispositivos de rede voltados para a internet através de métodos de intrusão baseados em credenciais. Ataques físicos contra centros de dados em nuvem na região do Golfo expandem ainda mais o risco para um domínio ciberfísico híbrido. O relatório destaca a importância da validação da integridade do firmware e da detecção baseada em comportamento em ambientes OT.

Investigação

O relatório destaca três principais desenvolvimentos. Primeiro, Rusty Boots e MoKhargosh demonstraram a capacidade de implantar apagadores com persistência estilo bootkit. Segundo, HYDRO KITTEN explorou múltiplos CVEs que afetam sistemas Rockwell, FortiGate, SonicWall, Ivanti, PAN-OS e OpenSSH. Terceiro, UNC6446 usou malware personalizado em C# e Golang, incluindo DUSTYPROXY e ERIESNAKE.GO, comunicando-se sobre HTTP não criptografado tunelado através da porta 443. O relatório também faz referência a ataques físicos visando infraestrutura de nuvem no Bahrein e Dubai.

Mitigação

As organizações devem aplicar patches em todos os CVEs referenciados em firewalls, ativos OT e serviços SSH, enquanto executam boot seguro e verificações regulares de integridade do firmware. As equipes de defesa devem monitorar a atividade de gravação de disco bruto e modificações no MBR ou VBR, bloquear o tráfego HTTP não criptografado na porta 443, revisar as chaves de execução do registro para executáveis desconhecidos e implementar monitoramento comportamental OT para detectar alterações nos setpoints de PLC fora de períodos de manutenção aprovados.

Resposta

Os defensores devem bloquear imediatamente todos os endereços IP, domínios e hashes de arquivo divulgados através de DNS, proxy e controles de endpoint. O conteúdo de detecção deve ser implementado para HTTP não criptografado sobre TCP/443, falhas de integridade de boot seguro, novas entradas de chaves de execução do registro e comportamento de autenticação de PLC suspeito. A caça a ameaças deve se concentrar nas assinaturas de malware listadas, bem como em sinais de acesso pré-posicionado, incluindo longos períodos de inatividade seguidos por operações abruptas relacionadas a OT.

Fluxo de Ataque

Detecções

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) destinada a acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um erro de diagnóstico.

  • Narrativa e Comandos de Ataque:

    1. Colheita de Credenciais (T1078) – O invasor, tendo comprometido uma conta de serviço de baixo privilégio, obtém as credenciais do serviço “Rockwell” de um armazenamento de credenciais inseguro.
    2. Logon Interativo Remoto (T1078, LogonType 10) – Usando essas credenciais, o invasor conecta-se à estação de trabalho de gerenciamento do PLC de destino via RDP, gerando um evento de logon bem-sucedido (EventID 4624, LogonType 10) que corresponde à seleção1.
    3. Tentativa de Exploração (T1190 / T1542.003) – Enquanto está logado, o invasor executa uma requisição HTTP manipulada contra o serviço web do RSLogix 5000, acionando o bypass de autenticação (CVE‑2021‑22681). O serviço registra um evento de autenticação falha (EventID 4625) com uma string de razão de falha contendo “CVE‑2021‑22681”, satisfazendo seleção2.
    4. Pós-Exploração (T1059.001, T1071.001, T1090.002) – Um shell reverso PowerShell é estabelecido através de um proxy externo para baixar a carga maliciosa, mas esses passos não são necessários para a regra disparar.
  • Script de Teste de Regressão: O script abaixo automatiza os passos 2 e 3 para produzir a telemetria exata.

    # ==============================
    # Teste de Exploração do Hydro Kitten
    # ==============================
    
    # 1️⃣ Variáveis – substitua pelos valores do seu ambiente
    $targetHost   = "10.0.0.50"               # IP do servidor RSLogix
    $rockwellUser = "Rockwell"
    $rockwellPwd  = "P@ssw0rd!"               # Senha conhecida (ou capturada)
    $proxyUrl     = "http://proxy.example.com:8080"
    
    # 2️⃣ Estabelecer uma sessão remota interativa (RDP) usando as credenciais Rockwell
    $secPwd = ConvertTo-SecureString $rockwellPwd -AsPlainText -Force
    $cred   = New-Object System.Management.Automation.PSCredential ($rockwellUser, $secPwd)
    
    Write-Host "[*] Iniciando sessão RDP para $targetHost com $rockwellUser..."
    # Start-Process cria uma nova sessão de logon – isso gera EventID 4624 com LogonType 10
    Start-Process -FilePath "mstsc.exe" -ArgumentList "/v:$targetHost" -Credential $cred
    
    Start-Sleep -Seconds 10   # Permitir tempo para que o logon seja registrado
    
    # 3️⃣ Acionar a tentativa de bypass de autenticação CVE‑2021‑22681
    $exploitUrl = "http://$targetHost/rslogix/rslogix.cgi?CVE-2021-22681=1"
    
    Write-Host "[*] Enviando solicitação malformada para acionar a detecção CVE..."
    Invoke-WebRequest -Uri $exploitUrl -Proxy $proxyUrl -Method GET -UseBasicParsing -ErrorAction SilentlyContinue
    
    Write-Host "[+] Solicitação de exploração enviada. Verifique o SIEM para EventID 4625 contendo 'CVE-2021-22681'."
  • Comandos de Limpeza: Remova a sessão RDP e quaisquer artefatos temporários.

    # Termine o processo do cliente RDP
    Get-Process -Name mstsc -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # (Opcional) Limpe o histórico do PowerShell para reduzir a pegada forense
    Clear-History