Pesquisadores descobriram uma campanha de crimes cibernéticos do grupo hacker CHAFER APT, aparentemente vinculados ao governo iraniano, e descobriram várias vítimas do transporte aéreo e do governo com a esperança de espalhar backdoors e ex-filtrar dados.
Esse grupo está ativo desde 2014 e já lançou operações de coleta de informações no Oriente Médio. Os ataques começaram em 2018 e duraram em 2019, tendo como alvo várias empresas, como telecomunicações, indústrias de viagens etc. com base no Kuwait e na Arábia Saudita.
As campanhas foram baseadas em várias ferramentas, incluindo ferramentas ‘vivendo fora da terra’, o que dificulta a atribuição, bem como diferentes ferramentas de hackers e um backdoor personalizado.
Principais conclusões da análise
- Transporte aéreo e governo foram os principais alvos
- A atividade dos atacantes ocorreu nos finais de semana
- Foi encontrada uma conta de usuário dos atores de ameaças criada no ataque do Kuwait
- O ataque à Arábia Saudita contou com a engenharia social para enganar os usuários
- Ambos os atacantes se concentraram na exploração e ex-filtragem de dados
Alvos típicos observados em ataques cibernéticos
O grupo iraniano é conhecido por conduzir campanhas direcionadas a alvos políticos e outros setores de onde dados valiosos podem ser filtrados. Eles usam várias técnicas enganosas, incluindo o envio de e-mails com arquivos ou links maliciosos e outros backdoors para acessar o dispositivo de destino. Depois disso, eles podem facilmente elevar os privilégios e outras atividades para garantir persistência completa na rede.
Mesmo antes, esse grupo visava o Oriente Médio. No entanto, com esses ataques, os hackers tentaram uma nova maneira de comprometer a rede. No ataque do Kuwait, eles criaram uma conta de usuário no dispositivo e realizam várias atividades como rede, varredura, roubo de credenciais e assim por diante. Eles usam duas ferramentas Mimikatz e CrackMapExec para essa finalidade. No ataque à Arábia Saudita, os hackers levaram as pessoas a instalar e executar a ferramenta de administração remota.
Embora esses dois sejam os exemplos mais recentes de ataques que estão ocorrendo no Oriente Médio, é importante entender que esse tipo de ataque pode acontecer em qualquer lugar do mundo, e infraestruturas críticas, como governo e transporte aéreo, continuam sendo alvos muito sensíveis.