APT33

APT33 es un presunto grupo de amenazas patrocinado por el Estado iraní activo desde al menos 2013, conocido por dirigirse a los sectores aeroespacial, energético y de defensa mediante ciberespionaje y operaciones potencialmente destructivas.

¿Está su organización a salvo de los ataques de APT33?

El origen de APT33

PT33, también conocido como HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten y Peach Sandstorm, es un grupo de amenazas iraní patrocinado por el Estado que lleva activo al menos desde 2013. Se sospecha que el grupo está vinculado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC) y se cree que apoya los objetivos estratégicos iraníes mediante la realización de operaciones de ciberespionaje y posiblemente destructivas. APT33 es particularmente conocido por su uso de spearphishing, malware personalizado y herramientas de seguridad ofensivas públicas, a menudo aprovechando las tecnologías de Microsoft para obtener acceso a entornos de destino.

Países objetivo de APT33

Las operaciones de APT33 se han dirigido principalmente contra Estados Unidos, Arabia Saudí, Emiratos Árabes Unidos y Corea del Sur. Estos países son política y económicamente importantes en Oriente Próximo, y a menudo representan la oposición a la política exterior iraní. Las actividades cibernéticas también pueden estar diseñadas para recopilar información de inteligencia sobre infraestructuras críticas y avances tecnológicos.

Industrias objetivo de APT33

APT33 se ha centrado ampliamente en organizaciones de los sectores aeroespacial, energético, de defensa, ingeniería e industrial. Su interés se alinea con los objetivos económicos y militares de Irán, especialmente en torno a las infraestructuras de petróleo y gas y las capacidades de defensa de adversarios regionales y competidores globales.

Las víctimas de APT33

En particular, APT33 ha tenido como objetivo empresas de ingeniería y aeroespaciales estadounidenses, conglomerados petroleros y energéticos saudíes y entidades de infraestructuras críticas con sede en los Emiratos Árabes Unidos. Sus operaciones incluían tanto el ciberespionaje como la preparación de posibles ataques destructivos, como los relacionados con las campañas de malware Shamoon, aunque la atribución a APT33 es circunstancial en algunos casos.

Método de ataque

Método de ataque de APT33

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

APT33 utiliza principalmente correos electrónicos de spearphishing con enlaces maliciosos .hta, archivos maliciosos o archivos adjuntos. También han comprometido cuentas válidas, incluidas cuentas cloud de Office 365, a veces mediante la pulverización de contraseñas.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Exploits como CVE-2017-0213 se han utilizado para la escalada local. Además, utilizan credenciales administrativas válidas obtenidas mediante herramientas de volcado.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

La persistencia se mantiene a través de claves de ejecución del registro, despliegues en carpetas de inicio, tareas programadas y suscripciones a eventos WMI. APT33 utiliza cargas útiles codificadas (base64), canales C2 cifrados (AES), ofuscación PowerShell y marcos de malware personalizados para eludir la detección.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

La recolección de credenciales se logra a través de herramientas como LaZagne, Mimikatz y SniffPass, dirigidas a credenciales de navegador, memoria LSASS, contraseñas GPP y credenciales de dominio almacenadas en caché.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Utilizan scripts y herramientas comunes para enumerar los sistemas, la topología de la red y los privilegios de cuenta para el movimiento lateral.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

El movimiento entre sistemas se facilita mediante credenciales recogidas, protocolos de escritorio remoto y acceso a cuentas válidas.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Los archivos sensibles se archivan utilizando herramientas como WinRAR y también pueden incluir capturas de pantalla mediante implantes de puertas traseras.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

Ejecutan cargas útiles maliciosas a través de PowerShell, VBScript o engañando a los usuarios para que lancen archivos adjuntos maliciosos. También han aprovechado la explotación de vulnerabilidades de software como CVE-2017-11774 y CVE-2018-20250.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Los datos se filtran a través de canales FTP, HTTP y HTTPS no cifrados, a veces a través de puertos no estándar (808/880) con cargas útiles codificadas.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

Principalmente orientada al espionaje, APT33 tiene capacidad para realizar operaciones destructivas, como demuestran los vínculos con comportamientos similares a los de Shamoon, aunque no se ha demostrado de forma concluyente.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

APT33 utiliza principalmente correos electrónicos de spearphishing con enlaces maliciosos .hta, archivos maliciosos o archivos adjuntos. También han comprometido cuentas válidas, incluidas cuentas cloud de Office 365, a veces mediante la pulverización de contraseñas.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

Exploits como CVE-2017-0213 se han utilizado para la escalada local. Además, utilizan credenciales administrativas válidas obtenidas mediante herramientas de volcado.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

La persistencia se mantiene a través de claves de ejecución del registro, despliegues en carpetas de inicio, tareas programadas y suscripciones a eventos WMI. APT33 utiliza cargas útiles codificadas (base64), canales C2 cifrados (AES), ofuscación PowerShell y marcos de malware personalizados para eludir la detección.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

La recolección de credenciales se logra a través de herramientas como LaZagne, Mimikatz y SniffPass, dirigidas a credenciales de navegador, memoria LSASS, contraseñas GPP y credenciales de dominio almacenadas en caché.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

Utilizan scripts y herramientas comunes para enumerar los sistemas, la topología de la red y los privilegios de cuenta para el movimiento lateral.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

El movimiento entre sistemas se facilita mediante credenciales recogidas, protocolos de escritorio remoto y acceso a cuentas válidas.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección

Los archivos sensibles se archivan utilizando herramientas como WinRAR y también pueden incluir capturas de pantalla mediante implantes de puertas traseras.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

Ejecutan cargas útiles maliciosas a través de PowerShell, VBScript o engañando a los usuarios para que lancen archivos adjuntos maliciosos. También han aprovechado la explotación de vulnerabilidades de software como CVE-2017-11774 y CVE-2018-20250.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

Los datos se filtran a través de canales FTP, HTTP y HTTPS no cifrados, a veces a través de puertos no estándar (808/880) con cargas útiles codificadas.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

Principalmente orientada al espionaje, APT33 tiene capacidad para realizar operaciones destructivas, como demuestran los vínculos con comportamientos similares a los de Shamoon, aunque no se ha demostrado de forma concluyente.

MITRE ATT&CK Cartografía

TTPs utilizadas por APT33

TA0001: Initial Access
T1566
Phishing
T1078
Valid Accounts
TA0002: Execution
T1204
User Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1140
Deobfuscate/Decode Files or Information
T1027
Obfuscated Files or Information
T1078
Valid Accounts
TA0006: Credential Access
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
T1040
Network Sniffing
T1003
OS Credential Dumping
TA0007: Discovery
T1040
Network Sniffing
TA0008: Lateral Movement
No items found.
TA0009: Collection
T1560
Archive Collected Data
T1113
Screen Capture
TA0011: Command and Control
T1573
Encrypted Channel
T1571
Non-Standard Port
T1132
Data Encoding
T1105
Ingress Tool Transfer
T1071
Application Layer Protocol
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1485
Data Destruction
Detección de plataformas

Cómo detectar APT33 con Vectra AI

Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.

Preguntas frecuentes

¿Cuál es el origen de APT33?

¿A qué sectores se dirige APT33?

¿Cuáles son los países más afectados?

¿Cómo consigue APT33 el acceso inicial?

¿Qué malware o herramientas están asociados a APT33?

¿Están relacionados con algún ataque destructivo?

¿Cómo mantienen la persistencia?

¿Cómo pueden las organizaciones detectar la actividad de APT33?

¿Qué medidas de mitigación son eficaces contra APT33?

¿Cuál es el objetivo estratégico del grupo?