APT33
APT33 es un presunto grupo de amenazas patrocinado por el Estado iraní activo desde al menos 2013, conocido por dirigirse a los sectores aeroespacial, energético y de defensa mediante ciberespionaje y operaciones potencialmente destructivas.
El origen de APT33
PT33, también conocido como HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten y Peach Sandstorm, es un grupo de amenazas iraní patrocinado por el Estado que lleva activo al menos desde 2013. Se sospecha que el grupo está vinculado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC) y se cree que apoya los objetivos estratégicos iraníes mediante la realización de operaciones de ciberespionaje y posiblemente destructivas. APT33 es particularmente conocido por su uso de spearphishing, malware personalizado y herramientas de seguridad ofensivas públicas, a menudo aprovechando las tecnologías de Microsoft para obtener acceso a entornos de destino.
Países objetivo de APT33
Las operaciones de APT33 se han dirigido principalmente contra Estados Unidos, Arabia Saudí, Emiratos Árabes Unidos y Corea del Sur. Estos países son política y económicamente importantes en Oriente Próximo, y a menudo representan la oposición a la política exterior iraní. Las actividades cibernéticas también pueden estar diseñadas para recopilar información de inteligencia sobre infraestructuras críticas y avances tecnológicos.
Industrias objetivo de APT33
APT33 se ha centrado ampliamente en organizaciones de los sectores aeroespacial, energético, de defensa, ingeniería e industrial. Su interés se alinea con los objetivos económicos y militares de Irán, especialmente en torno a las infraestructuras de petróleo y gas y las capacidades de defensa de adversarios regionales y competidores globales.
Las víctimas de APT33
En particular, APT33 ha tenido como objetivo empresas de ingeniería y aeroespaciales estadounidenses, conglomerados petroleros y energéticos saudíes y entidades de infraestructuras críticas con sede en los Emiratos Árabes Unidos. Sus operaciones incluían tanto el ciberespionaje como la preparación de posibles ataques destructivos, como los relacionados con las campañas de malware Shamoon, aunque la atribución a APT33 es circunstancial en algunos casos.
Método de ataque de APT33
APT33 utiliza principalmente correos electrónicos de spearphishing con enlaces maliciosos .hta, archivos maliciosos o archivos adjuntos. También han comprometido cuentas válidas, incluidas cuentas cloud de Office 365, a veces mediante la pulverización de contraseñas.
Exploits como CVE-2017-0213 se han utilizado para la escalada local. Además, utilizan credenciales administrativas válidas obtenidas mediante herramientas de volcado.
La persistencia se mantiene a través de claves de ejecución del registro, despliegues en carpetas de inicio, tareas programadas y suscripciones a eventos WMI. APT33 utiliza cargas útiles codificadas (base64), canales C2 cifrados (AES), ofuscación PowerShell y marcos de malware personalizados para eludir la detección.
La recolección de credenciales se logra a través de herramientas como LaZagne, Mimikatz y SniffPass, dirigidas a credenciales de navegador, memoria LSASS, contraseñas GPP y credenciales de dominio almacenadas en caché.
Utilizan scripts y herramientas comunes para enumerar los sistemas, la topología de la red y los privilegios de cuenta para el movimiento lateral.
El movimiento entre sistemas se facilita mediante credenciales recogidas, protocolos de escritorio remoto y acceso a cuentas válidas.
Los archivos sensibles se archivan utilizando herramientas como WinRAR y también pueden incluir capturas de pantalla mediante implantes de puertas traseras.
Ejecutan cargas útiles maliciosas a través de PowerShell, VBScript o engañando a los usuarios para que lancen archivos adjuntos maliciosos. También han aprovechado la explotación de vulnerabilidades de software como CVE-2017-11774 y CVE-2018-20250.
Los datos se filtran a través de canales FTP, HTTP y HTTPS no cifrados, a veces a través de puertos no estándar (808/880) con cargas útiles codificadas.
Principalmente orientada al espionaje, APT33 tiene capacidad para realizar operaciones destructivas, como demuestran los vínculos con comportamientos similares a los de Shamoon, aunque no se ha demostrado de forma concluyente.
APT33 utiliza principalmente correos electrónicos de spearphishing con enlaces maliciosos .hta, archivos maliciosos o archivos adjuntos. También han comprometido cuentas válidas, incluidas cuentas cloud de Office 365, a veces mediante la pulverización de contraseñas.
Exploits como CVE-2017-0213 se han utilizado para la escalada local. Además, utilizan credenciales administrativas válidas obtenidas mediante herramientas de volcado.
La persistencia se mantiene a través de claves de ejecución del registro, despliegues en carpetas de inicio, tareas programadas y suscripciones a eventos WMI. APT33 utiliza cargas útiles codificadas (base64), canales C2 cifrados (AES), ofuscación PowerShell y marcos de malware personalizados para eludir la detección.
La recolección de credenciales se logra a través de herramientas como LaZagne, Mimikatz y SniffPass, dirigidas a credenciales de navegador, memoria LSASS, contraseñas GPP y credenciales de dominio almacenadas en caché.
Utilizan scripts y herramientas comunes para enumerar los sistemas, la topología de la red y los privilegios de cuenta para el movimiento lateral.
El movimiento entre sistemas se facilita mediante credenciales recogidas, protocolos de escritorio remoto y acceso a cuentas válidas.
Los archivos sensibles se archivan utilizando herramientas como WinRAR y también pueden incluir capturas de pantalla mediante implantes de puertas traseras.
Ejecutan cargas útiles maliciosas a través de PowerShell, VBScript o engañando a los usuarios para que lancen archivos adjuntos maliciosos. También han aprovechado la explotación de vulnerabilidades de software como CVE-2017-11774 y CVE-2018-20250.
Los datos se filtran a través de canales FTP, HTTP y HTTPS no cifrados, a veces a través de puertos no estándar (808/880) con cargas útiles codificadas.
Principalmente orientada al espionaje, APT33 tiene capacidad para realizar operaciones destructivas, como demuestran los vínculos con comportamientos similares a los de Shamoon, aunque no se ha demostrado de forma concluyente.
TTPs utilizadas por APT33
Cómo detectar APT33 con Vectra AI
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.
Preguntas frecuentes
¿Cuál es el origen de APT33?
APT33 es un presunto grupo de amenazas iraní patrocinado por el Estado, probablemente vinculado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC), activo desde al menos 2013.
¿A qué sectores se dirige APT33?
Se centran en los sectores aeroespacial, energético, de defensa, ingeniería y petróleo/gas.
¿Cuáles son los países más afectados?
Los principales objetivos son Estados Unidos, Arabia Saudí, Emiratos Árabes Unidos y Corea del Sur.
¿Cómo consigue APT33 el acceso inicial?
A través de correos electrónicos de spearphishing con archivos adjuntos o enlaces maliciosos, y cuentas de Office 365 comprometidas a través de la pulverización de contraseñas.
¿Qué malware o herramientas están asociados a APT33?
Entre las herramientas más comunes se encuentran POWERTON, RemCos, DarkComet, PowerShell Empire, LaZagne, Mimikatz y SniffPass.
¿Están relacionados con algún ataque destructivo?
Aunque se centra principalmente en el espionaje, APT33 tiene vínculos potenciales con operaciones destructivas como Shamoon, aunque la atribución sigue siendo circunstancial.
¿Cómo mantienen la persistencia?
Uso de claves de registro, tareas programadas, suscripciones a eventos WMI y despliegue de RAT en carpetas de inicio.
¿Cómo pueden las organizaciones detectar la actividad de APT33?
La detección requiere la supervisión de actividad sospechosa de PowerShell, tráfico de red codificado, abuso de WMI y ejecuciones programadas de scripts. Se recomienda el uso de herramientas NDR.
¿Qué medidas de mitigación son eficaces contra APT33?
Utilice MFA, desactive la ejecución de macros, controle los cambios no autorizados en el registro, limite el acceso a PowerShell e implante la segmentación de red.
¿Cuál es el objetivo estratégico del grupo?
APT33 lleva a cabo actividades de espionaje en apoyo de los intereses nacionales de Irán, especialmente en los sectores de la energía y la defensa de Oriente Próximo, con un potencial de sabotaje si resulta políticamente conveniente.