Iran-linked group APT33 adds new Tickler malware to its arsenal

http://i.securitythinkingcap.com/TCW1pX

Iranian Threat Group Hits Thousands With Password Spray Campaign

An Iranian state-backed APT group carried out a “wave” of cyber-espionage attacks against thousands of global targets over a six-month period, Microsoft has revealed. The group known as Peach Sandstorm (aka APT33, Elfin, and Refined Kitten) used password spraying techniques between February and July 2023. This is a brute-force technique where threat actors try to authenticate to multiple accounts…

View On WordPress

Sunday Round Up - 03 June 2018

amzn_assoc_ad_type = "banner"; amzn_assoc_marketplace = "amazon"; amzn_assoc_region = "US"; amzn_assoc_placement = "assoc_banner_placement_default"; amzn_assoc_campaigns = "amzn_vicc_cloudcam_1017"; amzn_assoc_banner_type = "category"; amzn_assoc_isresponsive = "true"; amzn_assoc_banner_id = "1J0CHGJT75D586M66602"; amzn_assoc_tracking_id = "kraljevicn1-20"; amzn_assoc_linkid = "c122cc4768b349b4aab7d3099b74ea1c";

Sunday Round up for this week!

Articles:

Cryptography course projects

Apple iPhone Forensics: Significant Locations

DNS-Hijacking Malware Targeting iOS, Android and Desktop Users Worldwide

Decrypting APT33's Dropshot Malware with Radare2 and Cutter

Expand Your Awareness Program With SecurityIQ — 1700+ Library Resources Now Available!

If you found some other interesting stuff this week feel free to leave a link to it in the comments section. Otherwise feel free to check out the last roundup here.

These round ups are brought to you by PassVult.

Iranian hackers have been “password spraying” the US grid via /r/technology Iranian hackers have been “password spraying” the US grid Submitted January 13, 2020 at 01:23AM by homothebrave via reddit

Iranian Hackers Have Been ‘Password-Spraying’ the US Grid

Source: https://www.wired.com/story/iran-apt33-us-electric-grid/

Usa-Iran, "guerra cibernetica ai massimi livelli". In campo gli hacker di APT33

Le tensioni tra Stati Uniti e Iran nello Stretto di Hormuz si sono calmate ma in "rete" sembra che gli  iraniani continuino la loro attività contro obiettivi americani negli Stati Uniti e altrove. Mercoledì mattina, il Cyber ​​Command degli Stati Uniti ha twittato di aver scoperto "l'uso dannoso attivo" di un bug noto in Microsoft Outlook, "CVE-2017-11774." USCYBERCOM ha scoperto il  CVE-2017-11774 e ha raccomandato il #patching immediato. Il malware è attualmente distribuito da: '‘hxxps://customermgmt.net/page/macrocosm’ #cybersecurity #infosec Nel loro tweet, il Cyber ​​Command non rivela  chi sta usando il bug per lanciare attacchi. Ma la società di sicurezza informatica FireEye ha riferito che una serie di hacker iraniani è  impegnata a sfruttare questa vulnerabilità. "L'utilizzo del bug  CVE-2017-11774 continua a causare confusione per molti professionisti della sicurezza", ha scritto la società in un comunicato inviato ai giornalisti mercoledì. "Se Outlook lancia qualcosa di malevolo, un presupposto comune è che l'utente interessato sia stato sottoposto a phishing, il che non è ciò che sta accadendo qui. L'organizzazione di sicurezza informatica può perdere tempo prezioso nel cercare il problema  senza concentrarsi sulla causa principale". In un post di dicembre scorso, FireEye riferisce dell'attività di un gruppo di hacker  denominato APT33, verosimilmente attivato "dal governo iraniano". In un aggiornamento di giugno  la società ha dichiarato di aver scoperto essere molto attivi gli stessi personaggi.  APT33  hanno avviato  una nuova campagna  contro gli Usa e in particolare contro  agenzie governative federali, settori finanziari, media e istruzione. Questo aggiornamento coincide con un avviso del 22 giugno della Cybersecurity and Infrastructure Security Agency, o CISA, che ha lanciato un "warning" su un  "recente aumento dell'attività criminale informatica diretta alle industrie e alle agenzie governative degli Stati Uniti da parte di attori delegati del regime iraniano". I nuovi attacchi sono altamente distruttivi, definiti  attacchi a  "tergicristallo" e che i responsabili stanno "cercando di fare molto di più che rubare dati e denaro. Le tattiche utilizzate sono comuni come spear phishing, irrorazione di password e riempimento di credenziali. L'inganno è che pensi di  perdere i soli dati del tuo account, invece rischi di perdere l'intera rete del server". Nel corso del Summit One Tech della scorsa settimana, Ed Wilson, vice assistente segretario alla difesa per la politica cibernetica, ha descritto la recente escalation dell'attività criminale offensiva iraniana come una "escalation orizzontale" che indica un aumento del volume di attività, piuttosto che un cambiamento improvviso nei tipi di tattiche utilizzate. "Penso che molte volte pensiamo che l'escalation sia di natura verticale", ha affermato. La dichiarazione fa seguito a un commento del CHOD Usa, Gen. Joe Dunford a maggio scorso , che, parimenti, ha parlato di aumento dell'attività iraniana. Il The New York Times, riferisce che gli Stati Uniti, in risposta, hanno intensificato le operazioni informatiche contro i gruppi di intelligence iraniani coinvolti nella pianificazione dell'attacco a varie petroliere straniere. Read the full article

US Cyber Command warns of nation-state hackers exploiting Outlook

FYI: http://dlvr.it/R7qnyL

PureLocker ransomware. APT33 update. Hong Kong and information war, in the courts and on PornHub. Facebook content takedowns. Alleged criminals prepare to face the court.

PureLocker is a new ransomware strain available in the black market. APT33 is showing a surge of activity. Lawfare and information operations in and around Hong Kong. Facebook takes down content for violating its Community Standards. And two alleged cyber criminals are facing charges: one is allegedly the former proprietor of Cardplanet, the other was selling a remote administrative tool the RCMP says was really a different kind of RAT.  Justin Harvey from Accenture on the increasing use of biometrics in security. Guest is Jennifer Ayers from Crowdstrike with the insights from their Overwatch threat hunting report.

For links to all of today's stories check our our CyberWire daily news brief:

https://thecyberwire.com/issues/issues2019/November/CyberWire_2019_11_14.html 

<a href="https://www.patreon.com/thecyberwire" rel="payment">Support our show</a>

Check out this episode!

#APT33 targeted a total of 18 American organizations over the past three years, including a number of Fortune 500 companies. https://t.co/BmgAnxCzCo (via Twitter http://twitter.com/TheHackersNews/status/1111182775573512192)

Iran-linked APT33 targets Defense Industrial Base sector with FalseFont backdoor

http://i.securitythinkingcap.com/T0ZzNM

İranlı Hackerlar VPN Üzerinden Şirketlere Sızıyor

2019, Pulse Secure, Palo Alto Networks, Fortinet ve Citrix tarafından satılan çok sayıda kurumsal VPN sunucusunda büyük güvenlik hatalarının açıklandığı yıl olarak hatırlanacak. Yayınlanan yeni bir rapor , İran'ın devlet destekli hack birimlerinin geçen yıl  şirketlere sızmak ve arka kapılara girmek için halka açık VPN hatalarından yararlandıklarını ortaya koyuyor. İsrail siber güvenlik firması ClearSky'nin bir raporuna göre, İranlı hackerlar "BT, Telekomünikasyon, Petrol ve Gaz, Havacılık, Devlet ve Güvenlik sektörlerinden" şirketleri hedef aldılar. Rapor, İranlı bilgisayar korsanlarının Rus, Çinli veya Kuzey Koreli meslektaşlarından daha az yetenekli olduğu fikrini ortadan kaldırıyor. ClearSky, "İran APT gruplarının iyi teknik saldırı yetenekleri geliştirdiklerini ve nispeten kısa sürelerde 1 günlük güvenlik açıklarından yararlanabildiklerini" söyledi. ClearSky, bazı durumlarda, hataların kamuya açıklanmasından sonraki birkaç saat içinde VPN zafiyetlerinden yararlanan İranlı grupların gözlemlediğini söylüyor. * ATP gelişmiş kalıcı tehdit anlamına gelir ve genellikle ulus-devlet hack birimlerini tanımlamak için kullanılan bir terimdir. ClearSky, 2019 yılında İranlı grupların Pulse Secure "Connect" VPN (CVE-2019-11510), Fortinet FortiOS VPN (CVE-2018-13379) ve Palo Alto Networks "Global Protect" VPN (CVE-2019-1579) de açıklanan güvenlik açıklarını hızla kullandıklarını söyledi Bu sistemlere yönelik saldırılar, geçen yaz, hatalarla ilgili ayrıntıların kamuoyuna açıklanmasıyla başladı ve  2020'de de devam etti. Ayrıca, diğer VPN kusurları hakkında ayrıntılar açıklandıkça, İranlı gruplar da bu istismarları saldırılarına dahil ettiler (yani Citrix "ADC" VPN'lerinde açıklanan bir güvenlik açığı olan CVE-2019-19781). ClearSky raporuna göre, bu saldırıların amacı kurumsal ağları ihlal etmek, iç sistemlerinde yanlamasına hareket etmek ve daha sonraki bir tarihte sömürmek için arka kapıları yerleştirmek. Saldırılarının ilk aşaması  VPN'leri hedeflerken, ikinci aşama (yanal hareket), bu İran hack birimlerinin son yıllarda ne kadar ilerlediğini gösteren kapsamlı bir araç ve teknik koleksiyonunu içeriyordu. Örneğin, bilgisayar korsanları "Yapışkan Tuşlar" erişilebilirlik aracı aracılığıyla Windows sistemlerinde yönetici hakları kazanmak için uzun zamandır bilinen bir tekniği kötüye kullandılar . Ayrıca JuicyPotato ve Invoke the Hash gibi açık kaynaklı hack araçlarından faydalandılar , ancak Putty, Plink, Ngrok, Serveo veya FRP gibi meşru sysadmin yazılımlarını da kullandılar. Ayrıca, bilgisayar korsanlarının saldırılarına yardımcı olacak açık kaynaklı araçlar veya yerel araçlar bulamadığı durumlarda, özel kötü amaçlı yazılım geliştirme bilgisine de sahiptiler. ClearSky, aşağıdaki gibi araçlar bulduğunu söylüyor: STSRCheck - Kendi geliştirdiği veritabanları ve açık port haritalama aracı. POWSSHNET - SSH üzerinden RDP tüneli için kendi geliştirdiği arka kapı kötü amaçlı yazılımı. Özel VBScripts - Komut ve kontrol (C2 veya C&C) sunucusundan TXT dosyalarını indirmek ve bu dosyaları taşınabilir bir yürütülebilir dosyada birleştirmek için komut dosyaları. Socket-based backdoor over cs.exe - Sabit kodlu bir IP adresine soket tabanlı bir bağlantı açmak için kullanılan bir EXE dosyası. Port.exe - Bir IP adresi için önceden tanımlanmış bağlantı noktalarını tarama aracı. ClearSky raporu İranlı grupların geçmişte görülmemiş bir  işbirliği içinde olduklarını gösteriyor. İran hackleme faaliyetlerine ilişkin daha önceki raporlar, genellikle tek bir grubun çalışması olan farklı faaliyet kümelerini ayrıntılı olarak anlatıyordu. ClearSky raporu, dünyadaki VPN sunucularına yönelik saldırıların en az üç İran grubunun (APT33 (Elfin, Shamoon), APT34 (Oilrig) ve APT39 (Chafer)) işi gibi göründüğünü vurgulamaktadır. Şu anda, bu saldırıların amacı keşif operasyonu yapmak ve gözetleme operasyonları için arka kapı yerleştiemek gibi görünüyor. Ayrıca ClearSky, İranlı bilgisayar korsanlarının müşterilerine yönelik tedarik zinciri saldırıları için bu ihlal edilen şirketlere erişimden yararlanabileceklerini de göz ardı etmiyor. Bu teori, bu ayın başlarında, FBI'ın ABD özel sektörüne "küresel enerji üretimi ve iletimi için Endüstriyel Kontrol Sistemlerini (ICS) destekleyen varlıklar da dahil olmak üzere, yazılım tedarik zinciri şirketlerine karşı devam eden saldırılar hakkında bir uyarı" göndermesi gerçeğiyle destekleniyor.  ICS ve enerji sektörü, geçmişte İran hack grupları için geleneksel bir hedef olmuştur. Aynı FBI uyarısı, bu saldırılarda kullanılan kötü amaçlı yazılımlar ile daha önce İran'ın APT33 grubu tarafından kullanılan kodlar arasındaki bağlantılara dikkat çekti. Ayrıca Bahreyn'in ulusal petrol şirketi Bapco'ya yönelik saldırı, ClearSky'nin raporunda açıkladığı aynı "ihlal edilmiş VPN ve  yanlamasına hareket" taktiğini kullandı. Bununla birlikte, aynı kusurlar Çinli hackerlar ve çoklu fidye yazılımları ve şifreleme grupları tarafından da sömürülmüştür . Ayrıca, ClearSky raporunun sonuçlarını göz önünde bulundurarak, İranlı hackerların halka açıklandığında  yeni VPN kusurlarından yararlanma fırsatını  beklediklerini düşünebiliriz. Bu, İranlı bilgisayar korsanlarının büyük olasılıkla bu haftanın başlarında Güvenlik araştırmacılarının bu iki ürünü etkileyen altı güvenlik açığıyla ilgili ayrıntılar yayınladıktan sonra gelecekte SonicWall SRA ve SMA VPN sunucularını hedefleyeceği anlamına geliyor . Read the full article

Iran's APT33 May Be Targeting Industrial Control Systems "Iranian hackers have carried out some of the most disruptive acts of digital sabotage of the last decade, wiping entire computer networks in waves of cyberattacks across the Middle East and occasionally even the US.

via

A Notorious Iranian Hacking Crew Is Targeting Industrial Control Systems

Source: https://www.wired.com/story/iran-apt33-industrial-control-systems/