Piratas informáticos iraníes atacan a trabajadores del gobierno de EE. UU. En nueva campaña


iran-cyber.png

Característica especial

La ciberguerra y el futuro de la ciberseguridad

Las amenazas a la seguridad de hoy se han ampliado en alcance y seriedad. Ahora puede haber millones, o incluso miles de millones, de dólares en riesgo cuando la seguridad de la información no se maneja adecuadamente.

Lee mas

Los piratas informáticos respaldados por el gobierno iraní están de vuelta, atacando a los trabajadores federales de EE. UU. Con la esperanza de comprometer los sistemas gubernamentales con malware.

Los intentos de piratería se han relacionado con un grupo de ciberespionaje con nombre en código APT34o OilRig, un grupo de hackers de seis años que actúa en interés del gobierno iraní.

Los intentos de pirateo consisten en una campaña de phishing de lanza inteligentemente orquestada, de acuerdo con el reporte publicado hoy por la firma de ciberseguridad Intezer Labs, y compartido con ZDNet.

Los correos electrónicos de spear phishing imitan las encuestas de Westat. Westat es un conocido contratista del gobierno de EE. UU. Que ha administrado y administrado encuestas a más de 80 agencias federales, por al menos 16 años, consultar a los trabajadores federales sobre las condiciones de trabajo, la gestión y la satisfacción laboral.

Intezer dice que APT34 ha estado enviando correos electrónicos falsos con apariencia de Westat que distribuyen encuestas atrapadas como hojas de cálculo Excel.

westat-survey.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/01/30/0eab2599-ecd2-4152-9b46-680ed764b892/westat-survey.png

Imagen: Intezer Labs

Malware nuevo y mejorado

Estos documentos contienen código malicioso que se ejecuta si la víctima habilita macros dentro de Excel. El código malicioso descarga e instala dos cepas de malware conocidas como TONEDEAF y VALUEVAULT.

Uno es una puerta trasera, mientras que el otro es un ladrón de contraseñas.

Ambos han sido vistos anteriormente, a saber, utilizados con otra campaña APT34 de phishing detectado por FireEye en julio del año pasado.

Sin embargo, Intezer dice que estas dos versiones contienen actualizaciones serias de las anteriores utilizadas en julio pasado, y ambas parecen haber sido modificadas para esta campaña específica.

Por ejemplo, VALUEVAULT contiene una función de eliminación de contraseña de Chrome en lugar de su función anterior de eliminación de contraseña de Windows Vault, probablemente debido al uso conocido de Chrome por parte del gobierno de los EE. UU. Como navegador predeterminado.

Intezer sigue estas nuevas variaciones como TONEDEAF 2. y VALUEVAULT 2.. APT34 parece haber modificado ambas cepas de malware después de que FireEye expuso sus actividades.

tonedeaf.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/01/30/11bc460a-b5e2-46d3-a11e-54bccec2212a/tonedeaf.png

Imagen: Intezer Labs

«El análisis técnico de las nuevas variantes de malware muestra que el grupo ha estado invirtiendo un esfuerzo sustancial en actualizar sus herramientas en un intento de no ser detectado después de estar expuesto, y parece que el esfuerzo generalmente está dando sus frutos», dijo el equipo de Intezer.

No está claro por cuánto tiempo esta reciente campaña de phishing de APT34 haciéndose pasar por Westat.

Campaña aún en marcha

«Lo que sí sabemos es que el dominio [comando y control del malware] se creó hace 4 meses y se emitió un certificado para el sitio world-wide-web hace un mes», dijo Paul Litvak, analista de malware de Intezer Labs. ZDNet hoy.

Litvak cree que la campaña aún está en curso. También advierte que otros objetivos podrían estar dirigidos más allá de las organizaciones del gobierno de EE. UU., Como entidades comerciales que se sabe que confían en los servicios de topografía de Westat.

Intezer dijo que notificó a Westat sobre la campaña en curso de phishing anterior hoy.

ZDNet También contactó a Westat y le preguntó si la compañía planea advertir a su base de clientes sobre la precise campaña de piratería iraní que está abusando de su marca.



Enlace a la noticia unique