L’APT iraniano Chafer attacca il trasporto aereo e il governo in Kuwait e Arabia Saudita

I ricercatori hanno scoperto una campagna di criminalità informatica dal gruppo di hacker, CHAFER APT, apparentemente collegato al governo iraniano, e hanno scoperto diverse vittime del trasporto aereo e del governo con la speranza di diffondere backdoor e dati di ex-filtraggio.

Questo gruppo è attivo dal 2014 e ha già avviato operazioni di raccolta di informazioni in Medio Oriente. Gli attacchi sono iniziati nel 2018 e sono durati nel 2019, colpendo diverse aziende come le telecomunicazioni, le industrie di viaggio ecc. Con sede in Kuwait e Arabia Saudita.

Le campagne si basavano su diversi strumenti, tra cui strumenti per “vivere lontano dalla terra”, il che rende difficile l’attribuzione, nonché diversi strumenti di hacking e una backdoor su misura.

Principali risultati dell’analisi

  • Il trasporto aereo e il governo erano gli obiettivi principali
  • L’attività degli aggressori si è verificata nei fine settimana
  • È stato scoperto che un account utente delle minacce attori è stato creato nell’attacco del Kuwait
  • L’attacco dell’Arabia Saudita si è basato sull’ingegneria sociale per ingannare gli utenti
  • Entrambi gli aggressori si sono concentrati sullo sfruttamento dei dati e sull’ex-filtrazione

Target tipici rilevati negli attacchi informatici

Il gruppo iraniano è un gruppo noto per lo svolgimento di campagne mirate a obiettivi politici e altri settori da cui possono essere filtrati dati preziosi. Usano varie tecniche ingannevoli tra cui le e-mail di cesoiamento con file o collegamenti dannosi e altre backdoor per accedere al dispositivo di destinazione. Successivamente, possono facilmente elevare i privilegi e altre attività per garantire la persistenza completa sulla rete.

Ancor prima, questo gruppo aveva preso di mira il Medio Oriente. Tuttavia, con questi attacchi, gli hacker hanno provato un nuovo modo di compromettere la rete. Nell’attacco del Kuwait, hanno creato un account utente sul dispositivo e svolgono varie attività come la rete, la scansione, il furto di credenziali e così via. A tale scopo utilizzano due strumenti Mimikatz e CrackMapExec. Nell’attacco all’Arabia Saudita, gli hacker hanno ingannato le persone per installare ed eseguire lo strumento di amministrazione remota.

Mentre questi due sono gli esempi di attacco più recenti in atto in Medio Oriente, è importante capire che questo tipo di attacco può avvenire in qualsiasi parte del mondo e le infrastrutture critiche come il governo e il trasporto aereo rimangono obiettivi molto sensibili.