De olho nas atividades recentes e tendências de ataque de hackers iranianos

Os atores da ameaça iraniana são conhecidos por sua capacidade de interromper a infraestrutura crítica, visar organizações governamentais e comprometer grandes redes corporativas.

Os principais objetivos dos ataques são causar danos, roubar informações, realizar ciberespionagem e atingir alvos com ataques de ransomware.
De acordo com a Bloomberg, os hackers deste país refinaram suas técnicas em 2019 para se tornarem eficazes em ataques que podem render mais benefícios financeiros justos.

Qual é a atualização mais recente?

  • Em abril de 2020, o famoso grupo OilRig, também conhecido como APT34, revelou uma versão revisada de uma ferramenta de backdoor chamada RDAT que usa e-mail como um canal C2, com anexos para ocultar dados e comandos dentro de imagens.
  • Em maio de 2020, o grupo também adicionou uma nova ferramenta chamada DNSExfiltrator ao seu arsenal de hackers. Com isso, o grupo se torna o primeiro ator de ameaça conhecido publicamente a incorporar o protocolo DNS-over-HTTPS (DoH) em seus ataques.

O que isso indica?

A incorporação de novas ferramentas e malware indica que as empresas precisam considerar o cenário de ameaças em constante mudança conforme os hackers se ajustam e se reconfiguram para criar ameaças que penetrarão e interromperão melhor os ambientes de TI.

Outras tendências de ataque observadas

  • Em meados de agosto, o FBI emitiu um alerta de segurança sobre o grupo de atores de ameaças Fox Kitten visando dispositivos vulneráveis ​​de rede F5. Com isso, o grupo pretendia lançar ataques contra organizações privadas e governamentais dos Estados Unidos.
  • A partir de julho de 2020, Charming Kitten fez um retorno com uma nova campanha de ciberespionagem que se fez passar por jornalistas de língua persa via WhatsApp e LinkedIn. Os alvos da campanha foram acadêmicos israelenses das universidades de Haifa e Tel Aviv e funcionários do governo dos Estados Unidos.
  • Em junho, um grupo de hackers pouco qualificados operando fora do Irã lançou ataques contra empresas na Ásia com uma versão do ransomware Dharma . De acordo com o relatório Group-IB, o grupo usou ferramentas de hacking publicamente disponíveis para visar empresas na Rússia, Japão, China e Índia.

O quê mais?

Além de lançar ataques, o grupo Fox Kitten também foi flagrado vendendo acesso a redes corporativas comprometidas em um fórum de hackers clandestino, pelo menos desde julho de 2020. Crowdstrike destaca que o grupo está apenas tentando construir um novo canal para gerar receita e monetizar redes que não têm valor de inteligência para os serviços de inteligência iranianos.      

E para fechar..

Já se foi o tempo em que as ameaças cibernéticas eram apenas um problema de TI. A escala e os motivos dos ataques cibernéticos apresentados por hackers iranianos passaram por uma transformação tão grande que podem colocar organizações – de todos os tipos e tamanhos – em risco sem aviso prévio. Com seus recursos cibernéticos cada vez maiores e mais fortes com o tempo, as equipes de TI não podem ficar sozinhas e, portanto, a segurança cibernética exige um compromisso de toda a organização.

Fonte: https://cyware.com/news/capturing-recent-activities-and-attack-trends-of-iranian-hackers-a802f6b3