Técnicas de acceso inicial utilizadas por actores maliciosos vinculados a Irán

Los grupos maliciosos vinculados a Irán suelen utilizar un conjunto básico de métodos de acceso inicial. Los actores maliciosos prefieren técnicas de intrusión rentables y repetibles que implican ingeniería social, la rápida explotación de vulnerabilidades públicas y el uso de credenciales comprometidas para infiltrarse en los sistemas. Para crear medidas de defensa sólidas, las organizaciones deben reforzar la seguridad de la identidad, el correo electrónico y el perímetro implementando autenticación multifactorial resistente al phishing, aplicando parches rápidamente a los sistemas expuestos, supervisando el uso inusual de la autenticación y la gestión remota, y minimizando el riesgo derivado de credenciales débiles o predeterminadas tanto en entornos de TI como de TO.

Este resumen se basa en las observaciones de la Counter Threat Unit™ (CTU) sobre cómo diversos grupos y operaciones han utilizado técnicas de acceso inicial desde 2020. Los grupos de amenazas pueden utilizar cualquier método disponible para comprometer un objetivo, pero los siguientes son sus enfoques preferidos, que sustentan campañas de intrusión de amplio alcance.

Phishing (T1566)

El phishing sigue siendo el vector de acceso inicial más común, y se basa en una ingeniería social bien elaborada para obtener credenciales o desencadenar la entrega de malware. Esta categoría incluye las siguientes variantes:

• T1566.001 - Spearphishing con archivo adjunto: envío de documentos PDF u Office que contienen enlaces maliciosos incrustados o que conducen a la instalación de herramientas de control remoto
• T1566.002 - Spearphishing con enlace: correos electrónicos que dirigen a los destinatarios a páginas de recopilación de credenciales alojadas en servicios en la nube comunes
• T1566.003 - Spearphishing a través de servicios: ingeniería social llevada a cabo a través de plataformas de terceros como LinkedIn, servicios de correo web y proveedores de documentos alojados en la nube

Comportamientos clave de los grupos de amenazas iraníes

• Uso de intercambios de varios pasos para establecer una relación de confianza
• Suplantación de organizaciones o profesionales legítimos
• Alojamiento de cargas maliciosas o trampas de inicio de sesión en servicios en la nube de confianza (OneDrive, Google Drive, Onehub, Egnyte, Mega)

Aprovechamiento de aplicaciones de acceso público (T1190)

Los actores maliciosos suelen aprovechar vulnerabilidades recién reveladas o sin parchear en los sistemas perimetrales para conseguir un punto de entrada inicial. Entre los ejemplos más comunes se incluyen vulnerabilidades en Fortinet FortiOS, Microsoft Exchange ProxyShell y VMware Horizon/Log4Shell:

• CVE-2018-13379: Vulnerabilidad de Fortinet FortiOS (traversal de ruta en SSL VPN)
• CVE-2019-5591: Vulnerabilidad de Fortinet FortiOS (interceptación de información confidencial)
• CVE-2020-12812: Vulnerabilidad de Fortinet FortiOS SSL VPN (elusión de autenticación)
• CVE-2021-34473: Vulnerabilidad de Microsoft Exchange Server ProxyShell
• CVE-2021-26855: Vulnerabilidad de Microsoft Exchange Server ProxyShell
• CVE-2021-26857: Vulnerabilidad de ProxyShell en Microsoft Exchange Server
• CVE-2021-26858: Vulnerabilidad de ProxyShell en Microsoft Exchange Server
• CVE-2021-27065: Vulnerabilidad de ProxyShell en Microsoft Exchange Server
• CVE-2021-44228: Vulnerabilidad de Log4Shell en VMware Horizon

Como recomendación general, las organizaciones deberían dar prioridad a la aplicación de parches para las vulnerabilidades que figuran en el Catálogo de vulnerabilidades explotadas conocidas de la CISA.

Comportamientos clave de los grupos de amenazas iraníes

• Rápida adopción de código de explotación público
• Despliegue de shells web para obtener acceso persistente
• Uso de estos puntos de apoyo para adentrarse más en las redes internas

Acceso inicial basado en contraseñas (T1110.003, T1078.004)

Campañas a gran escala de «password spraying» dirigidas a plataformas de identidad en la nube (p. ej., Microsoft 365 / Entra ID). Una autenticación exitosa proporciona acceso directo al correo electrónico, los archivos y las cargas de trabajo de los usuarios.

• T1110.003 - Password spraying: intentos de autenticación masivos utilizando contraseñas comunes o débiles
• T1078.004 - Cuentas válidas: cuentas en la nube: uso de credenciales comprometidas con éxito para acceder a servicios en la nube y realizar acciones posteriores

Comportamientos clave de los grupos de amenazas iraníes

• Intentos persistentes en miles de dominios
• Inicio de acciones de descubrimiento y persistencia inmediatamente después de acceder a las cuentas

Abuso de herramientas de monitorización y gestión remota (RMM) (T1219)

Una táctica recurrente consiste en enviar correos electrónicos de phishing que llevan a la instalación de agentes RMM legítimos como ScreenConnect, Atera, PDQ, Action1, Syncro, Level, SimpleHelp, Remote Utilities, eHorus y N-Able. Estos agentes otorgan inmediatamente capacidad de ejecución remota sin necesidad de malware.

• T1219.002 - Software de escritorio remoto: herramientas de acceso remoto utilizadas para el comando y control

Comportamientos clave de los grupos de amenazas iraníes

• Uso indebido de licencias de prueba o cuentas de correo electrónico comprometidas para el registro en RMM
• Ejecución remota de scripts y extracción de credenciales a través de la consola RMM

Uso de servicios remotos externos (T1133)

Tras el robo de credenciales o el compromiso del perímetro, los actores maliciosos inician sesión a través de canales de acceso remoto legítimos:

• Portales VPN
• Endpoints RDP
• Interfaces de acceso remoto basadas en la nube

Comportamientos clave de los grupos de amenazas iraníes

• Uso de credenciales comprometidas en lugar de malware
• Mimetizarse con patrones de acceso administrativo legítimos

Aprovechamiento de credenciales predeterminadas o débiles (T1078.001, T1078.003)

Algunas intrusiones comienzan con el acceso a dispositivos, especialmente sistemas ICS u OT, que aún utilizan credenciales predeterminadas o fácilmente adivinables. En 2023, Cyber Av3ngers, utilizando credenciales predeterminadas y débiles, llevó a cabo ciberataques con motivaciones políticas al explotar PLC de Unitronics expuestos para interrumpir sistemas de control de agua y otros sistemas industriales, incluida una autoridad municipal de agua de EE. UU., al tiempo que difundía mensajes antiisraelíes.

• T1078.001 - Cuentas válidas: cuentas predeterminadas
• T1078.003 - Cuentas válidas: cuentas locales

Comportamientos clave de los grupos de amenazas iraníes

• Exposición de sistemas operativos conectados a Internet
• Rápido cambio a desfiguración, reconocimiento o interrupción

Conclusión

Aunque los actores maliciosos con sede en Irán aprovecharán cualquier vulnerabilidad u oportunidad para comprometer los sistemas objetivo, el análisis de CTU™ de numerosos ataques ha revelado una preferencia por ciertas técnicas. La Tabla 1 enumera las técnicas y los identificadores MITRE ATT&CK® asociados que se analizan en este informe. Para obtener información adicional sobre las amenazas cibernéticas lanzadas por actores maliciosos patrocinados por el Estado iraní, la CISA ha publicado numerosos avisos y advertencias.

Tabla 1: técnicas utilizadas por actores maliciosos con sede en Irán