Vai al contenuto
Inizia
Open search

Tecniche di accesso iniziale utilizzate da aggressori basati in Iran

L’analisi degli attacchi provenienti da gruppi di cyber criminali collegati all’Iran rivela una preferenza per specifiche tecniche.

Author - Sophos Logo

Scritto da Sophos Counter Threat Unit Research Team

Initial access techniques used by Iran-based threat actors - featured image
Threat ResearchIraninitial access

I gruppi legati all’Iran utilizzano spesso un insieme consolidato di metodi per ottenere l’accesso iniziale. Gli aggressori privilegiano tecniche di intrusione economiche e facilmente replicabili, che combinano social engineering, lo sfruttamento rapido di vulnerabilità pubbliche e l’utilizzo di credenziali compromesse per infiltrarsi nei sistemi.

Per costruire misure di difesa solide, le organizzazioni dovrebbero rafforzare la sicurezza di identità, email e perimetro di rete, implementando autenticazione multi-fattore resistente al phishing, applicando tempestivamente le patch ai sistemi esposti, monitorando autenticazioni anomale e l’uso di strumenti di gestione remota, e riducendo il rischio derivante da credenziali deboli o predefinite sia negli ambienti IT sia OT.

Questa panoramica si basa sulle osservazioni della Counter Threat Unit™ (CTU) relative al modo in cui diversi gruppi e operazioni hanno utilizzato tecniche di accesso iniziale dal 2020. I gruppi di aggressori sfruttano qualsiasi metodo disponibile per compromettere un obiettivo, ma i seguenti sono gli approcci preferiti alla base di numerose campagne di intrusione.

Phishing (T1566)

Il phishing rimane il vettore di accesso iniziale più comune, basato su tecniche di social engineering ben costruite per ottenere credenziali o attivare la distribuzione di malware.

Questa categoria include le seguenti varianti:

T1566.001 – Spearphishing con allegato

Invio di documenti PDF o Office contenenti link malevoli incorporati oppure che portano all’installazione di strumenti di controllo remoto.

T1566.002 – Spearphishing tramite link

Email che indirizzano i destinatari verso pagine di raccolta credenziali ospitate su comuni servizi cloud.

T1566.003 – Spearphishing tramite servizio

Attività di social engineering condotta attraverso piattaforme di terze parti, come LinkedIn, servizi di webmail e provider di documenti ospitati nel cloud.

Comportamenti chiave dei gruppi di aggressori iraniani

  • Utilizzo di scambi comunicativi in più fasi per costruire fiducia con la vittima
  • Impersonificazione di organizzazioni o professionisti legittimi
  • Hosting di payload malevoli o pagine di login fraudolente su servizi cloud affidabili (OneDrive, Google Drive, Onehub, Egnyte, Mega)

Leggi tutto l’articolo: https://www.sophos.com/en-us/blog/initial-access-techniques-used-by-iran-based-threat-actors

Informazioni sull'autore

Author - Sophos Logo

Sophos Counter Threat Unit Research Team

Sophos Counter Threat Unit™ (CTU) researchers are recognized authorities in the cybersecurity field, regularly contributing expert analysis to global media, publishing technical analyses for the security community, and presenting about emerging threats at leading security conferences. Backed by Sophos’ advanced security technologies and a broad network of intelligence contacts and partners, the CTU™ plays a critical role in identifying and tracking threat actors and analyzing anomalous activity, uncovering new attack techniques, threats, and major shifts in the threat landscape.