O Paradoxo Cibernético do Irã: APTs Degradados, Proxies em Ascensão e Wipers Bootkit
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
A atividade cibernética ligada ao Irã está cada vez mais se afastando das equipes APT estabelecidas e se aproximando de operadores proxy que usam apagadores estilo bootkit, exploram uma gama crescente de CVEs e até mesmo combinam operações cibernéticas com a interrupção física da infraestrutura de nuvem. Novos grupos rastreados, como Rusty Boots e MoKhargosh, demonstraram persistência em nível de bootkit, enquanto HYDRO KITTEN tem se concentrado em PLCs Rockwell e dispositivos de rede voltados para a internet através de métodos de intrusão baseados em credenciais. Ataques físicos contra centros de dados em nuvem na região do Golfo expandem ainda mais o risco para um domínio ciberfísico híbrido. O relatório destaca a importância da validação da integridade do firmware e da detecção baseada em comportamento em ambientes OT.
Investigação
O relatório destaca três principais desenvolvimentos. Primeiro, Rusty Boots e MoKhargosh demonstraram a capacidade de implantar apagadores com persistência estilo bootkit. Segundo, HYDRO KITTEN explorou múltiplos CVEs que afetam sistemas Rockwell, FortiGate, SonicWall, Ivanti, PAN-OS e OpenSSH. Terceiro, UNC6446 usou malware personalizado em C# e Golang, incluindo DUSTYPROXY e ERIESNAKE.GO, comunicando-se sobre HTTP não criptografado tunelado através da porta 443. O relatório também faz referência a ataques físicos visando infraestrutura de nuvem no Bahrein e Dubai.
Mitigação
As organizações devem aplicar patches em todos os CVEs referenciados em firewalls, ativos OT e serviços SSH, enquanto executam boot seguro e verificações regulares de integridade do firmware. As equipes de defesa devem monitorar a atividade de gravação de disco bruto e modificações no MBR ou VBR, bloquear o tráfego HTTP não criptografado na porta 443, revisar as chaves de execução do registro para executáveis desconhecidos e implementar monitoramento comportamental OT para detectar alterações nos setpoints de PLC fora de períodos de manutenção aprovados.
Resposta
Os defensores devem bloquear imediatamente todos os endereços IP, domínios e hashes de arquivo divulgados através de DNS, proxy e controles de endpoint. O conteúdo de detecção deve ser implementado para HTTP não criptografado sobre TCP/443, falhas de integridade de boot seguro, novas entradas de chaves de execução do registro e comportamento de autenticação de PLC suspeito. A caça a ameaças deve se concentrar nas assinaturas de malware listadas, bem como em sinais de acesso pré-posicionado, incluindo longos períodos de inatividade seguidos por operações abruptas relacionadas a OT.
graph TB %% Definição de classes classDef technique fill:#e6f7ff classDef tool fill:#ffeb99 classDef malware fill:#ffcccc %% Nós de técnicas technique_valid_accounts[“<b>Técnica</b> – T1078 Contas válidas<br/><b>Descrição</b>: Uso de credenciais roubadas ou obtidas para acesso inicial às redes alvo.”] class technique_valid_accounts technique technique_exploit_remote[“<b>Técnica</b> – T1210 Exploração de serviços remotos<br/><b>Descrição</b>: Explorar serviços vulneráveis (ex.: CVE-2021-26868, CVE-2024-0012, CVE-2024-5591) para movimento lateral e controlo de dispositivos.”] class technique_exploit_remote technique technique_persistence_registry[“<b>Técnica</b> – T1547.001 Chaves de execução no registo / pasta de arranque<br/><b>Descrição</b>: Persistência através de chaves Run em HKCU/HKLM ou pasta de arranque.”] class technique_persistence_registry technique technique_c2_external_proxy[“<b>Técnica</b> – T1090.002 Proxy externo<br/><b>Descrição</b>: Encaminhamento de tráfego C2 através de servidores proxy externos para ocultar infraestrutura.”] class technique_c2_external_proxy technique technique_c2_web[“<b>Técnica</b> – T1071.001 Protocolos Web (HTTP/S)<br/><b>Descrição</b>: Uso de HTTP/S para comunicação C2 sobre TCP/443.”] class technique_c2_web technique technique_execution_ps[“<b>Técnica</b> – T1059.001 PowerShell<br/><b>Descrição</b>: Uso de PowerShell para descarregar ficheiros, manipular o sistema e executar payloads.”] class technique_execution_ps technique technique_remote_access[“<b>Técnica</b> – T1219 Ferramentas de acesso remoto<br/><b>Descrição</b>: Implementação de backdoors com sessões remotas interativas.”] class technique_remote_access technique technique_credential_exploit[“<b>Técnica</b> – T1212 Exploração para acesso a credenciais<br/><b>Descrição</b>: Uso de credenciais roubadas para autenticação direta em dispositivos.”] class technique_credential_exploit technique technique_impact_preos[“<b>Técnica</b> – T1542 Pré-boot (Pre-OS)<br/><b>Descrição</b>: Modificação de componentes de arranque para persistência ou impacto antes do sistema operativo.”] class technique_impact_preos technique technique_impact_data_destruction[“<b>Técnica</b> – T1485 Destruição de dados<br/><b>Descrição</b>: Corrupção ou eliminação de dados críticos.”] class technique_impact_data_destruction technique technique_impact_disk_wipe[“<b>Técnica</b> – T1561.001 Limpeza de disco<br/><b>Descrição</b>: Sobrescrita de setores de disco para inutilizar sistemas.”] class technique_impact_disk_wipe technique %% Ferramentas e malware tool_dustyproxy[“<b>Ferramenta</b> – DUSTYPROXY<br/><b>Descrição</b>: Cliente proxy em C# instalado via chaves Run do registo; encaminha tráfego para proxies externos.”] class tool_dustyproxy tool malware_eriesnake_go[“<b>Malware</b> – ERIESNAKE.GO<br/><b>Descrição</b>: Backdoor em Go que fornece sessões interativas, executa PowerShell e comunica via HTTP/443.”] class malware_eriesnake_go malware malware_rusty_boots[“<b>Malware</b> – Rusty Boots<br/><b>Descrição</b>: Wiper tipo bootkit que sobrevive a reinstalação do sistema e corrompe o arranque.”] class malware_rusty_boots malware malware_mokhargosh[“<b>Malware</b> – MoKhargosh<br/><b>Descrição</b>: Wiper semelhante usado para inutilizar sistemas industriais.”] class malware_mokhargosh malware %% Fluxo technique_valid_accounts –>|leva a| technique_exploit_remote technique_exploit_remote –>|permite| technique_persistence_registry technique_persistence_registry –>|usa| tool_dustyproxy tool_dustyproxy –>|instala| technique_persistence_registry tool_dustyproxy –>|encaminha tráfego para| technique_c2_external_proxy technique_c2_external_proxy –>|comunica via| technique_c2_web technique_c2_web –>|facilita| technique_execution_ps technique_execution_ps –>|lança| malware_eriesnake_go malware_eriesnake_go –>|fornece| technique_remote_access technique_remote_access –>|explora| technique_credential_exploit technique_credential_exploit –>|leva a| technique_impact_preos technique_impact_preos –>|permite| technique_impact_data_destruction technique_impact_data_destruction –>|causa| technique_impact_disk_wipe technique_impact_preos –>|implementado por| malware_rusty_boots technique_impact_preos –>|implementado por| malware_mokhargosh %% Estilos class technique_valid_accounts,technique_exploit_remote,technique_persistence_registry,technique_c2_external_proxy,technique_c2_web,technique_execution_ps,technique_remote_access,technique_credential_exploit,technique_impact_preos,technique_impact_data_destruction,technique_impact_disk_wipe technique class tool_dustyproxy tool class malware_eriesnake_go,malware_rusty_boots,malware_mokhargosh malware
Fluxo de Ataque
Detecções
Possíveis Pontos de Persistência [ASEPs – Software/NTUSER Hive] (via registry_event)
Ver
Possível Enumeração do Sistema (via cmdline)
Ver
Processo Suspeito Imita Processo do Sistema Foi Executado (via cmdline)
Ver
Possível Descoberta de Informações do Sistema Usando Módulo Wmi Powershell (via powershell)
Ver
IOCs (HashMd5) para detectar: PARADOXO CIBERNÉTICO DO IRÃ: APTs DEGRADADOS, PROXIES EMPODERADOS E O SURGIMENTO DOS APAGADORES BOOTKIT
Ver
IOCs (SourceIP) para detectar: PARADOXO CIBERNÉTICO DO IRÃ: APTs DEGRADADOS, PROXIES EMPODERADOS E O SURGIMENTO DOS APAGADORES BOOTKIT
Ver
IOCs (DestinationIP) para detectar: PARADOXO CIBERNÉTICO DO IRÃ: APTs DEGRADADOS, PROXIES EMPODERADOS E O SURGIMENTO DOS APAGADORES BOOTKIT
Ver
Exploração do HYDRO KITTEN do Rockwell RSLogix 5000 [Firewall]
Ver
Detectar Tráfego HTTP Anômalo e Comportamento de Revezamento de Proxy Indicando Atividade ERIESNAKE.GO e DUSTYPROXY [Proxy]
Ver
Detecção da Execução do ERIESNAKE.GO PowerShell por Processos Específicos [Windows Powershell]
Ver
Persistência do DUSTYPROXY via Chave de Execução do Registro [Evento do Registro do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) destinada a acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um erro de diagnóstico.
-
Narrativa e Comandos de Ataque:
- Colheita de Credenciais (T1078) – O invasor, tendo comprometido uma conta de serviço de baixo privilégio, obtém as credenciais do serviço “Rockwell” de um armazenamento de credenciais inseguro.
- Logon Interativo Remoto (T1078, LogonType 10) – Usando essas credenciais, o invasor conecta-se à estação de trabalho de gerenciamento do PLC de destino via RDP, gerando um evento de logon bem-sucedido (EventID 4624, LogonType 10) que corresponde à
seleção1. - Tentativa de Exploração (T1190 / T1542.003) – Enquanto está logado, o invasor executa uma requisição HTTP manipulada contra o serviço web do RSLogix 5000, acionando o bypass de autenticação (CVE‑2021‑22681). O serviço registra um evento de autenticação falha (EventID 4625) com uma string de razão de falha contendo “CVE‑2021‑22681”, satisfazendo
seleção2. - Pós-Exploração (T1059.001, T1071.001, T1090.002) – Um shell reverso PowerShell é estabelecido através de um proxy externo para baixar a carga maliciosa, mas esses passos não são necessários para a regra disparar.
-
Script de Teste de Regressão: O script abaixo automatiza os passos 2 e 3 para produzir a telemetria exata.
# ============================== # Teste de Exploração do Hydro Kitten # ============================== # 1️⃣ Variáveis – substitua pelos valores do seu ambiente $targetHost = "10.0.0.50" # IP do servidor RSLogix $rockwellUser = "Rockwell" $rockwellPwd = "P@ssw0rd!" # Senha conhecida (ou capturada) $proxyUrl = "http://proxy.example.com:8080" # 2️⃣ Estabelecer uma sessão remota interativa (RDP) usando as credenciais Rockwell $secPwd = ConvertTo-SecureString $rockwellPwd -AsPlainText -Force $cred = New-Object System.Management.Automation.PSCredential ($rockwellUser, $secPwd) Write-Host "[*] Iniciando sessão RDP para $targetHost com $rockwellUser..." # Start-Process cria uma nova sessão de logon – isso gera EventID 4624 com LogonType 10 Start-Process -FilePath "mstsc.exe" -ArgumentList "/v:$targetHost" -Credential $cred Start-Sleep -Seconds 10 # Permitir tempo para que o logon seja registrado # 3️⃣ Acionar a tentativa de bypass de autenticação CVE‑2021‑22681 $exploitUrl = "http://$targetHost/rslogix/rslogix.cgi?CVE-2021-22681=1" Write-Host "[*] Enviando solicitação malformada para acionar a detecção CVE..." Invoke-WebRequest -Uri $exploitUrl -Proxy $proxyUrl -Method GET -UseBasicParsing -ErrorAction SilentlyContinue Write-Host "[+] Solicitação de exploração enviada. Verifique o SIEM para EventID 4625 contendo 'CVE-2021-22681'." -
Comandos de Limpeza: Remova a sessão RDP e quaisquer artefatos temporários.
# Termine o processo do cliente RDP Get-Process -Name mstsc -ErrorAction SilentlyContinue | Stop-Process -Force # (Opcional) Limpe o histórico do PowerShell para reduzir a pegada forense Clear-History