Threats

Grupo de cibercriminosos iraniano facilita acesso inicial a redes no Médio Oriente

Um grupo de cibercriminosos patrocinado pelo Estado iraniano, conhecido como UNC1860, tem operado como um "fornecedor de acesso inicial" a redes de alto perfil no Oriente Médio, segundo um relatório da Mandiant

26/09/2024

Grupo de cibercriminosos iraniano facilita acesso inicial a redes no Médio Oriente

O grupo de cibercriminosos iraniano atribuído ao Ministério de Inteligência e Segurança do Irã (MOIS), o tem como alvos principais entidades governamentais e empresas de telecomunicações na região.

O UNC1860 utiliza ferramentas sofisticadas, incluindo controlos de malware como TemplePlay e ViroGreen, que permitem a intrusão em redes e o controlo remoto do malware implantado. Estas ferramentas exploram vulnerabilidades em servidores voltados para a Internet, facilitando a entrada de outros agentes de ameaças. Uma vez estabelecida uma presença inicial, o grupo emprega um conjunto de implantes e backdoors passivos, desenhados para evitar deteção e manter o acesso a longo prazo.

Segundo a Mandiant, o UNC1860 exibe um comportamento semelhante a outros grupos ligados ao Irão, como o APT34, e destaca-se pela sua capacidade de manter uma posição discreta nas redes das vítimas, utilizando técnicas avançadas de ofuscação, como o uso de comandos não documentados e comunicação criptografada via HTTPS.

Este grupo representa um recurso estratégico significativo para as operações cibernéticas iranianas, sendo utilizado em campanhas que podem abranger desde espionagem até ciberataques.

Cibercrime Irão Governo Mandiant