UNC3890 iraniano prende di mira i settori strategici di Israele

Dall’anno scorso, Mandiant sta monitorando un gruppo di attività rivolte al governo israeliano, ai settori dell’energia, della sanità e delle spedizioni. Queste attività sono collegate a un gruppo di minacce denominato UNC3890.

L’attacco dell’Iran alle reti israeliane

UNC3890 sembra essere un gruppo di minaccia iraniano, le cui attività sono state individuate per la prima volta alla fine del 2020 e sono proseguite fino alla metà del 2022. Il gruppo utilizza esche di ingegneria sociale, insieme ad attacchi watering hole (distribuire malware mediante siti Web maggiormente utilizzati da un’organizzazione).

  • Sebbene sia principalmente focalizzato su Israele, alcuni dei suoi obiettivi sono entità globali, principalmente dal settore marittimo.
  • Il gruppo delle minacce mira alla raccolta di informazioni, che possono essere utilizzate per supportare diverse azioni, come l’esecuzione di attacchi hack-and-leak e di guerra cinetica.

Tattiche impiegate dagli hacker

L’accesso iniziale di UNC3890 avviene solitamente tramite watering hole e raccolta di credenziali.

  • I server C2 del gruppo si mascherano come servizi autentici per raccogliere credenziali e inviare esche di phishing.
  • I server ospitano domini e pagine di accesso false che falsificano servizi autentici come Office 365 e social network (LinkedIn e Facebook) per diffondere offerte di lavoro e pubblicità false.
  • Inoltre, i ricercatori hanno scoperto un server UNC3890 caricato con informazioni risultato di scraping, da Facebook e Instagram che potrebbero essere utilizzate negli attacchi di ingegneria sociale.

Strumenti in uso

Oltre alle esche di attacco sopra menzionate, è stato osservato che UNC3890 sfruttava diversi strumenti e tattiche per le sue campagne di attacco.

  • Un’esca di phishing utilizzata dagli aggressori sembra essere un file .xls mascherato da offerta di lavoro ma progettato per installare Sugardump (trovate tre versioni), uno strumento unico noto per essere utilizzato per la raccolta delle credenziali.
  • Un altro strumento è Sugarush, una backdoor per stabilire una connessione con C2 ed eseguire comandi CMD.
  • Altri strumenti sono Unicorn, uno strumento per eseguire attacchi di downgrade di PowerShell e iniettare uno shellcode, Metasploit e Northstar C2 (un framework C2 open source per test di penetrazione).