Vai al contenuto principale
Articolo
1 giugno 202614 min di lettura
Threat IntelligenceInvestigationsDark WebIranOptiv

Identificare attori ostili iraniani che prendono di mira le infrastrutture statunitensi

Icona del profilo del team IntraceIntrace Team

Quando Intrace ha rilevato il nome host del desktop di un consulente Optiv nei dati del dark web relativi a Water Black, l'indagine ha rivelato un'infrastruttura legata all'Iran, beaconing verso domini parcheggiati e una compromissione multifase mirata a un professionista della sicurezza di alto valore.

Rack di server in un data center con spie luminose blu e rosse

A luglio, utilizzando Intrace, un dipendente di Optiv ha scoperto che la sua postazione di lavoro personale compariva in dati del dark web associati a un gruppo malware denominato «Water Black». Il nome host del suo desktop era stato osservato nelle fonti di dati clandestine monitorate da Intrace, il che suggeriva che la macchina non solo fosse compromessa, ma anche etichettata come obiettivo di alto valore. Questa designazione era coerente con il suo ruolo: aveva in precedenza guidato le attività di risposta agli incidenti in un importante caso di ransomware, il che lo rendeva un bersaglio appetibile per attori ostili interessati a ritorsioni o a informazioni sulle tecniche difensive.

Scoperta nel dark web ed esposizione del nome host

Il segnale di partenza dell'indagine era semplice ma serio: il monitoraggio del dark web di Intrace ha rilevato il nome host del desktop del consulente in dati collegati a Water Black.

Un nome host è l'etichetta leggibile che identifica una macchina su una rete (per esempio, JOHN-DESKTOP o CORP-LAPTOP-01). Vedere un nome host nel materiale di un attore ostile significa di solito che gli attaccanti hanno ottenuto almeno un certo livello di accesso a quel dispositivo o al suo ambiente. Invece di vedere soltanto indirizzi IP generici o riferimenti anonimizzati alle vittime, la comparsa del nome host di un desktop specifico è un forte indicatore che il dispositivo stesso faceva parte di una campagna, e non si trattava di un semplice colpo casuale di uno scanner di internet.

Collegamento infrastrutturale

Durante il triage iniziale, Intrace ha correlato il riferimento a Water Black con l'infrastruttura esposta su Internet. Il team ha identificato un unico host su internet con il nome host waterblack, ospitato in un datacenter del Wyoming di proprietà di un provider controllato da soggetti iraniani. A questo punto:

  • La società di hosting era RouterHosting, LLC, che in seguito ha cambiato nome in Cloudsy.
  • Questo stesso provider era stato citato in fonti pubbliche come fornitore di supporto a diversi gruppi di hacker legati a governi, il che aumentava la probabilità che non si trattasse di una casuale infrastruttura di malware generico, bensì di parte di un insieme di operazioni più organizzato.

Questo è importante perché l'attribuzione dell'infrastruttura è una componente centrale dell'analisi delle intrusioni. Quando un provider o un datacenter ha precedenti associazioni con gruppi allineati a uno Stato, e vi si osservano nuovi domini o server sospetti, cresce la fiducia nel fatto di trovarsi di fronte a un attore ostile avanzato, forse legato a un governo, piuttosto che a criminali puramente opportunisti.

DNS e schema di traffico

Sulla postazione di lavoro stessa, Intrace ha esaminato le connessioni in uscita e gli schemi di risoluzione DNS. Nell'arco di diverse settimane, la macchina si era connessa frequentemente a domini «parcheggiati» di recente registrazione. Molti di quei domini risolvevano verso infrastrutture presso lo stesso provider di hosting legato alla proprietà iraniana.

Un dominio parcheggiato è un nome di dominio registrato ma non utilizzato attivamente per un sito web reale. In genere mostra una pagina segnaposto generica o annunci pubblicitari. Gli attaccanti amano usare domini parcheggiati o quasi vuoti perché:

  • Sono economici e facili da registrare in blocco.
  • A un'ispezione superficiale appaiono per lo più innocui.
  • Possono essere ripuntati rapidamente verso nuovi server per eludere i blocchi.

Lo schema di connessioni ripetute suggeriva un comportamento di beaconing: l'host compromesso contattava regolarmente l'infrastruttura controllata dagli attaccanti per ricevere istruzioni o aggiornamenti. È un design comune nei malware di comando e controllo (C2), in cui la macchina infetta si collega periodicamente a un server remoto per inviare lo stato e ricevere comandi.

Come mossa difensiva immediata, il consulente ha bloccato l'accesso ai domini parcheggiati a livello di rete. Questo è interessante dal punto di vista analitico perché tagliare il canale C2 primario spesso costringe il malware a rivelare meccanismi di riserva, configurazioni errate o comportamenti di errore: che è esattamente ciò che è accaduto subito dopo.

Il crash di «MicrosoftSecurityApp.exe»

A pochi giorni dal blocco dei domini parcheggiati, un processo denominato MicrosoftSecurityApp.exe è andato in crash sulla postazione di lavoro.

Questo nome di binario è sospetto per diverse ragioni:

  • Imita un plausibile componente di sicurezza Microsoft senza corrispondere a un prodotto noto e documentato.
  • Il malware usa comunemente nomi di file falsi o fuorvianti per confondersi con i processi di sistema legittimi (per esempio, aggiungendo «Microsoft», «Security», «Update» o «Service» al nome).

Il crash subito dopo il blocco delle connessioni in uscita suggerisce che questo processo fosse o l'agente principale del malware, che tentava senza successo di raggiungere i propri domini C2, oppure un loader o un watchdog che dipendeva dal successo delle comunicazioni in uscita, e che è andato in crash quando quella comunicazione si è interrotta. Dal punto di vista analitico, è un classico esempio di comportamento sotto stress: una volta bloccato il C2, un malware avanzato può andare in crash, riavviarsi, passare a canali di riserva o tentare in modo più aggressivo meccanismi di persistenza locale.

Indizi di persistenza locale

Dopo aver gestito il crash di MicrosoftSecurityApp.exe, la postazione di lavoro ha tentato di avviare Game Bar, un componente integrato di Windows tipicamente usato per gli overlay di gioco e la cattura dello schermo. Il consulente aveva in precedenza disabilitato Game Bar a causa di comportamenti sospetti, per cui questo tentativo di riattivazione era degno di nota.

Nel registro di Windows, Game Bar era referenziato in voci che iniziavano con AppX. Altre voci AppX puntavano verso FTP e SSH.

AppX è il formato di packaging di Microsoft per le moderne app del Windows Store. Il malware può talvolta abusare dei meccanismi dei contenitori di app, delle attività pianificate o dei manifesti AppX per la persistenza. FTP (File Transfer Protocol) e SSH (Secure Shell) sono protocolli standard: FTP viene usato per i trasferimenti di file, spesso in chiaro, mentre SSH viene usato per accessi remoti cifrati e tunneling.

Vedere voci AppX che puntano a FTP e SSH è strano per una postazione di lavoro personale che non dovrebbe fungere da server. Suggerisce che il malware possa aver registrato entità simili ad app o attività pianificate che interagiscono con endpoint FTP/SSH remoti, o predisposto canali alternativi per l'esfiltrazione di dati o la ricezione di comandi, separati dal C2 HTTP/HTTPS basato sui domini parcheggiati.

Il tentativo di riabilitare o attivare Game Bar può indicare un abuso delle capacità di overlay e cattura di Game Bar per la registrazione dello schermo o lo spionaggio dell'utente, oppure l'uso di un componente legittimo di Windows come parte di una strategia living-off-the-land per ridurre l'impiego di binari palesemente malevoli.

Artefatto di rete: TCP 22 e un collegamento a «GhostContainer»

In questa finestra temporale, il consulente ha osservato una connessione TCP sulla porta 22 verso l'indirizzo 52.98.240.82.

La porta TCP 22 è quasi universalmente associata a SSH. L'IP in questione è collegato a infrastrutture legittime (per esempio, provider cloud o SaaS), ma discussioni online lo avevano associato a qualcosa chiamato «GhostContainer». GhostContainer è una backdoor che prende di mira i server Microsoft Exchange, documentata dai ricercatori di sicurezza. Fornisce agli attaccanti un accesso remoto persistente agli ambienti Exchange, inclusa la capacità di eseguire comandi e muoversi lateralmente.

Sebbene la macchina del consulente non fosse un server Exchange, il fatto che vi fosse un comportamento simile a SSH sulla porta TCP 22 verso un indirizzo collegato alle segnalazioni su GhostContainer, e che l'host avesse in precedenza effettuato beaconing verso domini sospetti legati a infrastrutture riconducibili a uno Stato, suggerisce che la postazione di lavoro possa aver fatto parte di un set di strumenti più ampio usato dagli stessi attori che distribuiscono GhostContainer altrove, oppure sia stata usata come punto di appoggio o nodo di osservazione per monitorare o gestire le operazioni sul lato Exchange da un endpoint fidato.

Questo è coerente con lo schema di una compromissione di un obiettivo di alto valore: più che limitarsi a rubare file, gli attaccanti volevano potenzialmente una macchina fidata nell'ambiente da usare per fare pivot, osservare le azioni di risposta agli incidenti o mantenere l'accesso anche mentre i sistemi aziendali venivano rafforzati.

Tentativo di installazione di un certificato root non autorizzato

Il consulente ha inoltre ricordato un tentativo di installazione di una Root Certificate Authority (CA) non autorizzata.

È un dettaglio cruciale. Un certificato Root CA è uno degli ancoraggi che i sistemi operativi e i browser usano per decidere se una connessione cifrata (per esempio, HTTPS) sia affidabile. Se un attaccante riesce a installare il proprio certificato root malevolo su un sistema, può:

  • Intercettare e decifrare traffico TLS altrimenti sicuro (per esempio, webmail, dashboard, portali di amministrazione).
  • Presentare certificati falsi per domini arbitrari (per esempio, outlook.com, vpn.company.com) e farli apparire validi al sistema compromesso.

In pratica, questo consentirebbe agli attaccanti di condurre attacchi man-in-the-middle (MITM) sulle connessioni della vittima senza far scattare avvisi sui certificati, e di leggere o alterare comunicazioni sensibili, incluse le catene di email della risposta agli incidenti, i sistemi di ticketing e altri scambi riservati. Il tentativo di installazione di una root CA è un forte indicatore dell'intento di persistere e sorvegliare, non di una rapida attività mordi e fuggi.

Perché questa persona è stata presa di mira

La vittima non è stata scelta a caso. L'esame da parte di Intrace dei riferimenti nel dark web e del contesto ha rivelato che era esplicitamente etichettato come obiettivo di alto valore. Questo status derivava probabilmente dal suo precedente lavoro di risposta agli incidenti in un importante caso di ransomware.

Dal punto di vista di un attaccante, compromettere qualcuno con una profonda visibilità sulle difese e sui processi di risposta fornisce informazioni su come i difensori rilevano e rispondono a determinate intrusioni, un potenziale strumento di pressione o di ritorsione contro chi in passato ha ostacolato le loro operazioni, e l'accesso a preziose reti di contatti e documentazione, anche se queste risiedono principalmente sui sistemi aziendali, perché la postazione di lavoro personale viene spesso usata come canale secondario.

Questa combinazione di targeting personale, infrastruttura legata all'Iran, beaconing verso domini parcheggiati, tentativi di root CA non autorizzate e comportamenti in stile backdoor è coerente con un'intrusione deliberata e multifase, piuttosto che con un malware casuale di tipo drive-by.

Come Intrace ha strutturato l'indagine

Dal punto di vista di Intrace, l'indagine ha seguito una struttura chiara:

Acquisizione del segnale dal dark web

  • Rilevare il nome host e la designazione di alto valore nei dati relativi a Water Black.
  • Confermare che l'host in questione appartiene a un consulente Optiv.

Correlazione infrastrutturale

  • Individuare l'host waterblack nel datacenter di proprietà iraniana nel Wyoming.
  • Mappare i domini parcheggiati correlati che risolvono verso lo stesso provider.
  • Incrociare con le segnalazioni precedenti sul coinvolgimento della società di hosting con gruppi legati a governi.

Telemetria e comportamento dell'host

  • Esaminare le connessioni in uscita verso domini parcheggiati nell'arco di diverse settimane.
  • Identificare MicrosoftSecurityApp.exe come processo sospetto e analizzarne il comportamento nel periodo in cui è stato attivato il blocco di rete.
  • Rivedere le voci di registro, inclusi i riferimenti AppX a Game Bar, FTP e SSH.

Artefatti di rete e collegamenti a strumenti esterni

  • Rilevare il traffico TCP 22 verso 52.98.240.82 e la sua menzione nelle discussioni su GhostContainer.
  • Valutare se il comportamento osservato rientri in uno schema di backdoor o di movimento laterale.

Integrità della fiducia e della crittografia

  • Indagare sul tentativo di installazione di una Root CA non autorizzata.
  • Valutare il rischio di un'intercettazione in corso del traffico cifrato.

Raccomandazioni di contenimento e rafforzamento

  • Isolare la postazione di lavoro dagli ambienti sensibili.
  • Rimuovere i binari e le voci di registro sospetti.
  • Reimpostare le credenziali e rafforzare l'autenticazione a più fattori.
  • Applicare controlli rigorosi su DNS e traffico in uscita, con monitoraggio di nuovi domini parcheggiati e traffico SSH sospetto.
  • Verificare i certificati fidati sulla macchina e revocare eventuali CA non autorizzate.

Esito

Combinando l'intelligence dal dark web, l'analisi infrastrutturale, la forensics dell'host e un'attenta interpretazione degli artefatti di rete, Intrace è riuscita a ricostruire il percorso di compromissione e a chiarire come un consulente Optiv sia diventato una vittima mirata di attività ostile legata all'Iran. Il caso ha evidenziato come:

  • I dispositivi personali usati dai professionisti della sicurezza possano diventare obiettivi strategici.
  • I domini parcheggiati e i provider di hosting poco noti possano fungere da silenziosa infrastruttura C2.
  • I tentativi di installare certificati root non autorizzati e di sfruttare componenti integrati di Windows come Game Bar siano coerenti con obiettivi di accesso furtivo e a lungo termine, e non con semplice rumore di fondo.

Optiv ha utilizzato questi risultati per contenere l'incidente, rafforzare l'ambiente del consulente e adattare la logica di rilevamento per cercare schemi simili su altri endpoint e presso altri clienti.