Chafer iraniano APT ataca Transporte Aéreo e governo no Kuwait e na Arábia Saudita

Pesquisadores descobriram uma campanha de crimes cibernéticos do grupo hacker CHAFER APT, aparentemente vinculados ao governo iraniano, e descobriram várias vítimas do transporte aéreo e do governo com a esperança de espalhar backdoors e ex-filtrar dados.

Esse grupo está ativo desde 2014 e já lançou operações de coleta de informações no Oriente Médio. Os ataques começaram em 2018 e duraram em 2019, tendo como alvo várias empresas, como telecomunicações, indústrias de viagens etc. com base no Kuwait e na Arábia Saudita.

As campanhas foram baseadas em várias ferramentas, incluindo ferramentas ‘vivendo fora da terra’, o que dificulta a atribuição, bem como diferentes ferramentas de hackers e um backdoor personalizado.

Principais conclusões da análise

  • Transporte aéreo e governo foram os principais alvos
  • A atividade dos atacantes ocorreu nos finais de semana
  • Foi encontrada uma conta de usuário dos atores de ameaças criada no ataque do Kuwait
  • O ataque à Arábia Saudita contou com a engenharia social para enganar os usuários
  • Ambos os atacantes se concentraram na exploração e ex-filtragem de dados

Alvos típicos observados em ataques cibernéticos

O grupo iraniano é conhecido por conduzir campanhas direcionadas a alvos políticos e outros setores de onde dados valiosos podem ser filtrados. Eles usam várias técnicas enganosas, incluindo o envio de e-mails com arquivos ou links maliciosos e outros backdoors para acessar o dispositivo de destino. Depois disso, eles podem facilmente elevar os privilégios e outras atividades para garantir persistência completa na rede.

Mesmo antes, esse grupo visava o Oriente Médio. No entanto, com esses ataques, os hackers tentaram uma nova maneira de comprometer a rede. No ataque do Kuwait, eles criaram uma conta de usuário no dispositivo e realizam várias atividades como rede, varredura, roubo de credenciais e assim por diante. Eles usam duas ferramentas Mimikatz e CrackMapExec para essa finalidade. No ataque à Arábia Saudita, os hackers levaram as pessoas a instalar e executar a ferramenta de administração remota.

Embora esses dois sejam os exemplos mais recentes de ataques que estão ocorrendo no Oriente Médio, é importante entender que esse tipo de ataque pode acontecer em qualquer lugar do mundo, e infraestruturas críticas, como governo e transporte aéreo, continuam sendo alvos muito sensíveis.