El informe deja bastante claro que, al contrario de lo que algunos se puedan esperar, las capacidades de las unidades iraníes es muy alta, detectándose los primeros ataques horas después de que se publicaran las vulnerabilidades. Entre otras, consiguieron aprovecharse de las siguientes vulnerabilidades:
- The Fortinet FortiOS VPN (CVE-2018-13379) - Exploit
- Palo Alto Networks "Global Protect" VPN (CVE-2019-1579) - Exploit
- Pulse Secure Connect VPN (CVE-2019-11510) - Exploit
- Citrix Aplication Delivery Controler & Citrix Gateway (CVE-2019-19781) - Exploit
- STSRCheck, una herramienta de escaneo y fuerza bruta automatizada contra puertos de interés (22, 23, 80, 445, 1433, 3306, 3389).
- POWSSHNET, que permite hacer RDP a través de un tunel SSH.
- Port.exe, una herramienta de escaneo de puertos que, al contrario que STSRCheck, admite parametrizar los puertos a escanear.
- Scripts VBS, que permiten la descarga de ficheros de texto desde el servidor C&C que posteriormente son unidos para generar ficheros ejecutables.
- Ejecutables que abren conexiones basadas en sockets contra direcciones IP hardcodeadas.
A pesar de que en estos ataques se han plantado backdoors para vigilancia, el informe sospecha que en cualquier momento se pueda utilizar malware para la destrucción de información en discos duros, o que alternativamente, puedan usarse los ataques iniciales como base de ataques a la cadena de suministro de otros clientes de las compañías comprometidas.
De hecho, alertas recientes del FBI avisan de este tipo de ataques, incluyendo ataques a compañías que dan soporte a Sistemas de Control Industrial (ICS) relacionados con la generación, transmisión y distribución de energía. Este sector ha sido un objetivo tradicional de los hackers iraníes en el pasado por motivos obvios. Estas mismas alertas del FBI mencionan que en estos ataques se ha usado código utilizado en el pasado por APT33. En concreto, el malware Kwampirs parece estar muy relacionado con Shamoon/Disttrack.
Así que... si tu compañía tenía alguna de estas soluciones en el perímetro, e incluso si ya habéis parcheado todos los sistemas, recordad realizar escaneos dentro de la red para buscar posibles amenazas que hayan penetrado antes del parcheo y estén ocultas. Y de regalo, recordad que también se han publicado fallos recientemente en SonicWall SRA & SMA, so...
Patch & Hunt!
0 comentarios:
Publicar un comentario