unc2448 - RunkIntel

# UNC2448 > [!high] Ator Iraniano Ligado ao IRGC-IO — Ransomware e Espionagem > UNC2448 é um cluster de ameaça com nexo iraniano, associado ao Corpo da Guarda Revolucionária Islâmica (IRGC-IO), que opera tanto campanhas de ransomware para ganho financeiro quanto operações de espionagem cibernética. Também rastreado como DEV-0270 (Microsoft) e Cobalt Mirage (Secureworks), o grupo foi formalmente indiciado pelo DOJ americano em 2022 por três de seus membros. ## Visão Geral UNC2448 representa um caso incomum no panorama de ameaças: um grupo de estado-nação que combina motivações de espionagem com operações financeiramente motivadas de ransomware. Rastreado pela Mandiant como UNC2448, pela Microsoft como DEV-0270 e pela Secureworks como Cobalt Mirage, o grupo está vinculado ao Corpo da Guarda Revolucionária Islâmica do Irã (IRGC-IO), através das empresas de fachada Najee Technology Hooshmand Fard Co. Ltd. e Afkar System Yazd Co. Em setembro de 2022, o Departamento de Justiça dos EUA (DOJ) indiciou três membros do grupo: **Mansour Ahmadi**, **Ahmad Khatibi Aghda** e **Amir Hossein Nickaein Ravari**, acusados de explorar vulnerabilidades em centenas de organizações nos EUA, Reino Unido, Austrália, Canadá e Irã. As vítimas incluíam hospitais, organizações de saúde, infraestrutura crítica e entidades governamentais. O grupo ficou especialmente conhecido por sua tática dupla: comprometer sistemas de organizações críticas e então oferecer "serviços de descriptografia" mediante pagamento de ransom, utilizando principalmente o recurso nativo do Windows BitLocker para criptografar dados — uma abordagem que dificulta a detecção baseada em assinaturas de malware, pois usa ferramentas legítimas do sistema operacional. O impacto de UNC2448 se estende globalmente. Embora o foco principal seja em alvos ocidentais e israelenses, a métodologia de varredura massiva de vulnerabilidades públicas e o uso de ferramentas de acesso remoto como Fast Reverse Proxy (FRP) e ngrok criam riscos também para organizações no Brasil e LATAM que expõem serviços vulneráveis à Internet. ## Attack Flow e TTPs ```mermaid graph TB A["🔍 Varredura em Massa CVE-2021-44228 Log4Shell CVE-2021-26084 Confluence CVE-2018-13379 Fortinet"] --> B["💥 Exploração Acesso inicial via vulnerabilidades públicas"] B --> C["🔧 Persistência Web shells + Fast Reverse Proxy (FRP) + ngrok"] C --> D["🔑 Movimento Lateral Credenciais comprometidas Pass-the-Hash / Mimikatz"] D --> E{"Objetivo da Operação"} E -->|"Ransomware"| F["🔒 BitLocker Encryption Criptografia nativa Pedido de resgate"] E -->|"Espionagem"| G["📤 Exfiltração Dados sensíveis para IRGC-IO"] ``` **Técnicas:** [[t1190-exploit-public-facing-application|T1190]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1133-external-remote-services|T1133]] · [[t1219-remote-access-tools|T1219]] ## CVEs Exploradas Ativamente | CVE | Sistema | CVSS | Uso pelo grupo | |-----|---------|------|----------------| | CVE-2021-44228 | Log4j (Log4Shell) | 10.0 | Acesso inicial em massa | | CVE-2021-26084 | Atlassian Confluence | 9.8 | Acesso a servidores corporativos | | CVE-2018-13379 | Fortinet FortiOS VPN | 9.8 | Roubo de credenciais VPN | | CVE-2021-34527 | Windows PrintNightmare | 8.8 | Escalada de privilégio | A abordagem de UNC2448 é amplamente oportunista: o grupo realiza varreduras massivas da Internet em busca de sistemas vulneráveis, sem necessáriamente selecionar alvos específicos antecipadamente. ## Empresas de Fachada e Indiciamento O DOJ americano identificou duas empresas iranianas usadas como cobertura operacional: - **Najee Technology Hooshmand Fard Co., Ltd.** — Registrada no Irã, usada para operações técnicas - **Afkar System Yazd Co.** — Segunda empresa de fachada identificada nas investigações Os três indivíduos indiciados em setembro de 2022: | Nome | Papel | |------|-------| | Mansour Ahmadi | Operacional / técnico | | Ahmad Khatibi Aghda | Operacional | | Amir Hossein Nickaein Ravari | Técnico / desenvolvimento | ## Arsenal e Infraestrutura ```mermaid graph TB subgraph "Ferramentas de Acesso Remoto" FRP["Fast Reverse Proxy (FRP) Tunelamento de conexões C2"] NG["ngrok Exposição de serviços internos"] end subgraph "Criptografia como Arma" BL["BitLocker Ferramenta nativa Windows usada para ransomware"] end subgraph "Roubo de Credenciais" MZ["Mimikatz Extração de hashes NTLM"] PTH["Pass-the-Hash Movimento lateral sem senha"] end FRP --> BL NG --> BL MZ --> PTH PTH --> FRP ``` **Ferramentas:** [[fast-reverse-proxy]] · BitLocker (nativo) · Mimikatz · ngrok · Web shells customizados ## Motivação Dupla: Ransomware + Espionagem UNC2448 é notável por sua motivação dupla, documentada pela Mandiant e pela Microsoft: 1. **Operações de inteligência**: Coleta de informações sensíveis para o IRGC-IO, especialmente de organizações governamentais, de defesa e de infraestrutura crítica dos EUA e Israel 2. **Ransomware como receita**: Criptografia de dados com BitLocker e exigência de resgate, gerando receita para sustentar operações enquanto possívelmente dificulta investigações ao misturar motivações Essa dualidade dificulta a atribuição e a resposta: uma organização comprometida pode não saber se está sendo espionada, extorquida, ou ambos. ## Relação com Outros Grupos Iranianos UNC2448 apresenta sobreposições com outros clusters iranianos: - **[[unc3890]]** — Grupo iraniano relacionado, com sobreposições de infraestrutura e alvos (Israel) - **Phosphorus / APT35** — Grupo iraniano de maior perfil com alvos similares (EUA, Israel) - **Charming Kitten** — Sobreposições táticas, especialmente no uso de engenharia social ## Detecção e Defesa ### Indicadores de Comprometimento - Presença do executável `frpc.exe` (Fast Reverse Proxy client) em sistemas Windows - Uso anômalo de BitLocker em múltiplos sistemas de forma coordenada - Atividade de varredura de Log4j ou Confluence proveniente de IPs iranianos - Conexões ngrok saindo de servidores internos para Internet ### Mitigações Recomendadas - Aplicar patches para Log4Shell, Confluence e FortiOS imediatamente — estas CVEs permanecem ativamente exploradas - Monitorar uso de BitLocker em ambientes corporativos via auditoria de eventos Windows - Bloquear ferramentas de tunelamento não autorizadas (FRP, ngrok) via [[m1037-filter-network-traffic|M1037]] - Implementar [[m1032-multi-factor-authentication|M1032]] com MFA resistente a phishing - Monitorar tráfego de rede para padrões de C2 via [[ds-0029-network-traffic|DS0029]] ## Referências - [DOJ — Indictment of UNC2448 Members (September 2022)](https://www.justice.gov/opa/pr/three-iranians-charged-engaging-computer-intrusion-campaigns-against-us-critical-infrastructure) - [Mandiant — UNC2448 Profile](https://cloud.google.com/blog/topics/threat-intelligence) - [Microsoft — DEV-0270 / Cobalt Mirage Profile](https://www.microsoft.com/en-us/security/blog/) - [Secureworks — Cobalt Mirage Analysis](https://www.secureworks.com/research/cobalt-mirage-conducts-ransomware-operations-in-u.s.) - [[unc3890]] — Cluster iraniano relacionado - [[t1486-data-encrypted-for-impact|T1486]] — Técnica de ransomware com BitLocker - [[t1190-exploit-public-facing-application|T1190]] — Exploração de vulnerabilidades públicas