Software package de cambio de voz encontrado en el servidor de APT Attackers



Los investigadores de seguridad creen que la presencia de Morph Vox Professional podría indicar que APT-C-23 tiene nuevos planes para sus campañas de phishing.

El descubrimiento de program de cambio de voz en el servidor de APT-C-23 podría tener implicaciones para los futuros ataques de phishing del grupo, informan los investigadores de Cado Stability.

APT-C-23, un grupo relacionado con los ataques en el Medio Oriente, es conocido como parte de un grupo más grande llamado «Molerats» que se encuentra principalmente en Palestina, según el informe. Los molerats suelen tener como objetivo los partidos políticos en Palestina y el gobierno israelí, específicamente las Fuerzas de Defensa de Israel (FDI). En ocasiones, también se sabe que los atacantes apuntan a gobiernos occidentales.

Cado Stability llama a APT-C-23 «un grupo de sofisticación media» y señala que generalmente se basa en la ingeniería social para manipular a las víctimas para que descarguen malware. En el pasado, el grupo ha conocido por hacerse pasar por mujeres para engañar a sus objetivos para que instalen aplicaciones maliciosas.

«La razón por la que están haciendo esto es el espionaje, y luego lo que están haciendo con estos datos es principalmente tratar de rastrear lo que la gente está haciendo y creo que ayudarlos un poco en el terreno», dice el cofundador de Cado Safety. y el CTO Chris Doman.

Los investigadores encontraron un servidor que pertenece a APT-C-23 a principios de 2020. El servidor había sido identificado previamente como servidor de malware en ataques dirigidos sin embargo, una mala configuración había hecho que el conjunto de herramientas de los atacantes estuviera disponible públicamente. Cuando lo descubrieron, el package de herramientas contenía malware utilizado para espionaje, herramientas para identificar enrutadores vulnerables, herramientas personalizadas para aprovechar las cuentas de correo electrónico comprometidas para enviar correos electrónicos de phishing y un código de phishing para inicios de sesión de correo internet.

«Es bastante común encontrar estos servidores activados para enviar malware a objetivos o recibir comandos de ese malware», agrega. «Curiosamente en este caso, dejaron el servidor abierto».

Los investigadores afirman que los molerats utilizan varias familias de malware diferentes, pero la mayoría comienza con un archivo rar autoextraíble. Los archivos ejecutan descargadores MSHTA / VBScript, que se utilizan para instalar la puerta trasera de H-Worm, explicar en una publicación de blog.

La herramienta más interesante del servidor fue una aplicación de cambio de voz llamada Morph Vox Professional, que incluía una clave de serie y un paquete de voces. Dadas las campañas de phishing anteriores de APT-C-23, los investigadores especulan que el grupo está usando esta herramienta para producir mensajes de audio que podrían usarse para convencer a los objetivos de que instalen malware.

Al analizar el servidor, los investigadores también aprendieron más sobre cómo los atacantes distribuyen malware. Por ejemplo, una aplicación proporcionó orientación sobre cómo enviar correos electrónicos de phishing en masa a los objetivos. Un archivo separado contenía comandos de muestra para encontrar enrutadores vulnerables con ZoomEye, un servicio de escaneo de Web. Una carpeta de «soporte» contenía una página de suplantación de identidad de credenciales para las cuentas de Microsoft.

Kelly Sheridan es la editora de personal de Dark Examining, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original