Grupo de Gaza ataca objetivos en territorios palestinos en una nueva ola de ciberataques


Malware: campaña de piratería vinculada a Irán
Investigadores de Recorded Long term han vinculado las intrusiones de troyanos y el espionaje a una operación de piratería respaldada por el estado que funciona en Irán.

Se ha detectado una nueva campaña de ciberespacio en Oriente Medio que persigue a las víctimas en los territorios palestinos.

Una investigación sobre los ataques, realizada por el equipo Cybereason Nocturnus y hecha pública el jueves, sugiere que uno de los grupos Cybergang de Gaza, también conocido como MoleRAT, es potencialmente responsable.

Rastreado por Kaspersky como tres facciones separadas, MoleRATs, un grupo vinculado a los Halcones del Desierto, y Operation Parliament, MoleRATs es un colectivo de habla árabe y de motivación política que ha estado en funcionamiento desde 2012.

Kaspersky dice que el grupo MoleRATs es el menos sofisticado de los tres, y aunque el trío usa diferentes estilos de ataque, todos usan herramientas y comandos comunes después de las infecciones iniciales.

Cybereason dice que en los últimos meses, MoleRAT ha estado intentando infiltrarse en los sistemas de organizaciones e individuos. Sin embargo, dos campañas separadas parecen estar sucediendo simultáneamente.

El primero, denominado Spark, utiliza la ingeniería social como el vector de ataque preliminar. Los correos electrónicos de phishing intentan atraer a las víctimas recurriendo a contenido políticamente sensible, como el conflicto israelí-palestino, las tensiones entre Hamas y el gobierno egipcio, y el asesinato de Qasem Soleimani.

Si las víctimas abren los correos electrónicos y los archivos maliciosos adjuntos, estos documentos señuelo, incluidos Microsoft Business office, .PDF y archivos de archivo, todos intentan atraer a las víctimas para que descarguen un archivo de archivo adicional de Egnyte o Dropbox. Cuando se abre, otro archivo, que se hace pasar por un documento de Microsoft Word, contiene un ejecutable que es el cuentagotas de puerta trasera de Spark.

Ver también: Intel advierte sobre fallas críticas de seguridad en el motor CSME, emite avisos de productos descontinuados

Los nombres de los documentos señuelo incluyen «Reunión entre Abu-Mazen y Kushner», «Haniyeh permanecerá en el extranjero y Hamas se intensifica en Gaza.pdf» y «Detalles% 20Ceasfire% 20with% Israel.zip».

La puerta trasera de Spark, que probablemente sea un software program personalizado diseñado por los actores de la amenaza, puede recopilar información del sistema en una máquina infectada cifre esta información y envíela a un servidor de comando y regulate (C2) descargue cargas maliciosas adicionales y ejecute comandos.

El malware envolverá las cargas útiles usando Enigma en un intento de evitar la detección y buscará productos antivirus usando WMI. Spark también verificará que su víctima sea árabe según el teclado y la configuración de idioma.

Pierogi es la segunda campaña destacada, que también utiliza ingeniería social pero emplea una gama diferente de señuelos de documentos maliciosos, y una nueva puerta trasera.

CNET: IPVanish vs. ExpressVPN: seguridad, velocidad y precio comparados

En la mayoría de los casos, los investigadores de ciberseguridad dicen que se emplean documentos armados de Microsoft Term, lo que también lleva a más descargas de archivos maliciosos a través de macros. Los nombres incluyen «Informe sobre desarrollos importantes_347678363764.exe», «Derechos de empleados-2020.doc» y «Hamas_32th_Anniversary__32_1412_847403867_rar.exe».

Luego se cae una puerta trasera. Apodado Pierogi después de un plato de Europa del Este, el application, escrito en Delphi, es bastante básico y parece haber sido creado por hackers de habla ucraniana, como lo indican las indicaciones del idioma ucraniano en el código.

A pesar de su simplicidad, el malware aún puede recopilar y robar datos del sistema, descargar cargas útiles adicionales, tomar capturas de pantalla y ejecutar comandos a través de CMD.

TechRepublic: Seguridad informática en la nube: estas dos herramientas de Microsoft pueden ayudarlo a combatir TI en la sombra

Cybereason sospecha que el propósito de ambas campañas es «obtener información confidencial de las víctimas y aprovecharla con fines políticos».

Sin embargo, los investigadores de ciberseguridad advierten sobre la atribución estricta.

«Es importante recordar que hay muchos actores de amenazas que operan en el Medio Oriente, y a menudo hay superposiciones en TTP, herramientas, motivación y victimología», dice el equipo. «Ha habido casos en el pasado donde un actor de amenaza intentó imitar a otro para frustrar los esfuerzos de atribución, y como tal, la atribución rara vez se debe tomar como está, sino con un grano de sal».

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia original