Possibile attacco cyber a compagnie di telecomunicazioni in Medio Oriente
Il team Threat Intelligence di Telsy ha identificato un possibile attacco Grunt Covenant multi-stage rivolto a una delle principali società di telecomunicazioni in Iran.
Introduzione
In questo articolo esamineremo i diversi passaggi che l’attaccante ha intrapreso per distribuire un Grunt Covenant alle sue vittime. Telsy non dispone di molte informazioni sull’esatta intenzione di questo attacco, infatti non ci sono elementi per attribuirlo ad una specifica operazione di cyber espionage e ad uno specifico threat actor o ad una semplice operazione di Red Team.
Covenant è un framework di comando e controllo basato su C# che consente a un utente malintenzionato di creare payload basati su diversi vettori di infezione. Il framework Covenant ha il proprio set di payload per la fase di post-exploitation chiamati Grunts.
I Grunts consentono le comunicazioni con i server C2 mentre i task vengono inviati al sistema infettato in un formato di assembly C# e sono caricati ed eseguiti dai Grunts. L’attacco è iniziato inviando un’e-mail con il seguente oggetto “The License Resource Overs the Threshold on TA_eSight” e con un allegato denominato “TA_eSight.docx”.
L’oggetto della mail sembra simulare un possibile problema con la licenza della piattaforma eSight. eSight è la suite software di Huawei utile alla pianificazione, alla gestione e alla manutenzione di complesse infrastrutture ICT aziendali.
Inoltre, offre una varietà di funzioni, tra cui il supporto per il monitoraggio e la manutenzione remota di CPE (Customer-Premises Equipment), eNodeB e dispositivi di rete core, aiutando gli utenti a implementare rapidamente reti eLTE e individuare guasti a costi inferiori con maggiore efficienza e maggiore stabilità.
Sia il destinatario che il mittente dell’email individuate sono due ingegneri dell’area PS Core della mobile telecom network area. Infatti, il mittente è un “Evolved Packet Core Planning Engineer” di Irancell, società in parte di proprietà del gruppo sudafricano MTN, il quale sembra essere un legittimo account ma compromesso.
Leggi l’intero rapporto a questo link
Leggi gli altri report cyber sul blog di Telsy.