Amethyst Rain é o nome dado pela Microsoft a um agente baseado no Líbano que se acredita ter ligações com o Hezbollah libanês. O Amethyst Rain visa principalmente organizações nos setores de saúde, governo, jurídico, transporte e navegação com base em Israel ou com ligações a este país. Em operações passadas, os operadores do Amethyst Rain exploraram vulnerabilidades em dispositivos expostos à internet para obter acesso aos alvos e utilizaram uma combinação de ferramentas personalizadas e comuns para atingir seus objetivos. Elementos do Amethyst Rain coincidem com atividades rastreadas como Volatile Cedar por investigadores da Check Point e ClearSky.

Detalhes de Alvo:
A Microsoft avalia que o Amethyst Rain opera em nome de uma facção do Hezbollah libanês. O Hezbollah é um partido político e grupo militante islâmico xiita libanês que recebe financiamento e assistência do Irão, o seu principal parceiro estratégico. Provas limitadas também indicam que o Amethyst Rain partilha recursos e pode coordenar as suas operações com atores de ameaça patrocinados pelo Estado iraniano, incluindo o Pink Sandstorm.
Os comprometimentos atribuídos ao Amethyst Rain parecem ser tentativas de coletar inteligência de alvos. Para este fim, o Amethyst Rain visa principalmente, mas não exclusivamente, organizações operando em ou com ligações a Israel. Em operações passadas, o Amethyst Rain tentou comprometer organizações nos setores de saúde, governo, jurídico, transporte e navegação. O Amethyst Rain também demonstrou interesse em atividades ao longo da fronteira de Israel com o Líbano, especialmente após o início da guerra Israel-Hamas em outubro de 2023. Em pelo menos um caso, o Amethyst Rain comprometeu uma organização internacional operando no Oriente Médio.

Reconhecimento:
O Amethyst Rain é conhecido por usar scanners de vulnerabilidade de código aberto para identificar aplicativos expostos à internet vulneráveis em alvos de interesse e dispositivos IoT vulneráveis, especialmente câmaras, para posterior ataque. Separadamente, o Amethyst Rain usou redes sociais e plataformas de networking profissional para pesquisar possíveis alvos.

Acesso Inicial:
A Microsoft observou o Amethyst Rain usando múltiplos vetores para obter acesso aos alvos de interesse. Para isso, o Amethyst Rain explorou repetidamente vulnerabilidades em aplicações expostas à internet, como Atlassian e Oracle, e em sistemas populares de VPN. O Amethyst Rain também comprometeu contas de utilizadores e usou credenciais legítimas para aceder a sistemas dos alvos.

Atividade Pós-Exploração:
A Microsoft observou o Amethyst Rain usando uma combinação de ferramentas personalizadas e comuns para movimentar-se lateralmente, persistir num ambiente comprometido, aceder a credenciais e exfiltrar dados.

– O Amethyst Rain usa web shells nos ambientes dos alvos para manter persistência e executar comandos remotamente. Esses web shells são frequentemente colocados em pastas onde é menos provável que atraiam a atenção dos defensores.
– Desde o final de 2023, o Amethyst Rain usou um web shell personalizado (detectado como WitchSyndrome no Microsoft Defender Antivirus) numa campanha focada principalmente em organizações de saúde em Israel. O Amethyst Rain também usou vários web shells disponíveis publicamente em operações mais antigas.
– Em pelo menos um caso, a Microsoft observou o Amethyst Rain usando Impacket e Sharpweb para movimentar-se lateralmente e aceder a credenciais.

Fonte:
Microsof Defender