La ‘Operación Sugarush’ aumenta con respecto al esfuerzo de espionaje en las industrias de envío y atención médica



Se ha descubierto un grupo de amenazas de habla persa que se dirige a industrias que van desde la atención médica hasta la energía, con un enfoque particular en el sector del transporte marítimo.

De acuerdo a un informe de Mandiant, que nombró al grupo UNC3890, la campaña utiliza señuelos de ingeniería social transmitidos por correo electrónico y un abrevadero alojado en una página de inicio de sesión de una compañía naviera israelí legítima para disfrazar la actividad. Si bien se dirige principalmente a víctimas israelíes, el informe advierte que los objetivos también incluyen empresas multinacionales, lo que sugiere que la amenaza podría tener un impacto international.

El robo de credenciales podría permitir que el actor de amenazas obtenga acceso inicial a una organización objetivo con fines de espionaje, según la firma. Por ejemplo, las credenciales pueden permitir que el actor se conecte al buzón de Business 365 de una víctima y robe toda la correspondencia de correo electrónico de la víctima, obteniendo así información valiosa sobre la víctima y la actividad de su organización.

“Observamos que los servidores C2 se comunicaban con múltiples objetivos, así como con un abrevadero que creemos que estaba dirigido al sector marítimo israelí, en specific a las entidades que manejan y envían componentes sensibles”, señala el informe.

El analista senior de Mandiant, Ofir Rozmann, dice que el interés que muestra este actor en el sector del transporte marítimo es muy preocupante, ya que la inteligencia que recopila puede aprovecharse para esfuerzos más agresivos, como operaciones de guerra cinética.

«Si bien no sabemos a qué datos exactos obtuvieron acceso los atacantes, comprometer el sitio net de una empresa naviera y recopilar información sobre sus usuarios puede haber proporcionado a los atacantes datos sobre el contenido de la carga, cuándo se envía y su ubicación a lo largo del tiempo», explica. . “Este tipo de datos es importante si Irán desea realizar operaciones cinéticas dirigidas a estos envíos”.

Además, este tipo de acceso también puede usarse para enviar correos electrónicos de phishing desde dentro de la organización, lo que refuerza la legitimidad y compromete más buzones y/o computadoras, o afecta a los clientes intermedios.

Gusto por el malware personalizado

El grupo, que opera una pink interconectada de servidores de comando y manage (C2), falsifica servicios legítimos que incluyen Business 365 y las redes sociales LinkedIn y Fb, con señuelos de phishing que incluyen ofertas de trabajo falsas y comerciales falsos para muñecas robóticas basadas en IA. .

Una vez que una víctima se ve comprometida, el grupo entrega dos piezas de malware patentadas, que Mandiant denominó Sugarush y Sugardump.

Sugarush es una puerta trasera que establece un shell inverso sobre TCP a una dirección C2 codificada, según el nuevo análisis.

Mientras tanto, Sugardump se usa para recopilar credenciales de los navegadores Chrome, Opera y Edge Chromium, que también pueden filtrar datos robados a través de los servicios de correo electrónico de Gmail, Yahoo y Yandex.

Según el informe, se han observado varias versiones de Sugardump, la primera que info de 2021, que almacenaba credenciales sin filtrarlas. Las versiones posteriores usan SMTP o HTTP para las comunicaciones C2 y tienen una funcionalidad de obtención de credenciales más avanzada.

Otras herramientas utilizadas por UNC3890 incluyen Unicorn para ataques de tipo PowerShell, el marco Metasploit y NorthStar C2, que es un marco C2 de código abierto disponible públicamente desarrollado para pruebas de penetración y equipos rojos.

«Además, identificamos un servidor UNC3890 que albergaba varios archivos .ZIP que contenían contenido extraído de cuentas de Fb e Instagram de personas legítimas», dice el informe. «Es posible que fueran el objetivo de UNC3890 o que se usaran como señuelos en un esfuerzo de ingeniería social».

El grupo ha estado en funcionamiento desde al menos fines de 2020 y actualmente se percibe como una amenaza activa.

Espionaje para muchos resultados

Rozmann agrega que la recopilación de inteligencia es un componente clave de cualquier actividad patrocinada por el estado, ya que puede ayudar a mantener informados a los líderes y las agencias de inteligencia iraníes cuando elaboran estrategias o planes contra sus objetivos.

«Si bien creemos que este actor se centra en la recopilación de inteligencia, los datos recopilados pueden aprovecharse para respaldar diversas actividades, desde piratear y filtrar hasta permitir ataques de guerra cinética como los que han afectado a la industria naviera en los últimos años», según Mandiant. análisis.

Ya sea que permanezca encubierta o se aproveche para operaciones más abiertas, la inteligencia abre opciones para un actor de amenazas. Por ejemplo, dirigirse al sector gubernamental puede brindar acceso a datos confidenciales estratégicos, políticos o relacionados con la defensa que pueden ser beneficiosos para futuras negociaciones, expuestos/vendidos o aprovechados contra las víctimas.

¿Atribución al gobierno de Irán?

Si bien es casi seguro que UNC3890 se basa en Irán, «no tenemos suficiente evidencia para determinar si se trata de una amenaza respaldada por el estado», señala Rozmann. «Sin embargo, es plausible, según el enfoque geográfico del actor, los sectores objetivo y el enfoque en la recopilación de inteligencia».

Agrega que una pandilla típica de delitos cibernéticos que tiene motivaciones financieras probablemente estaría interesada en otra información, como cuentas bancarias, y usaría otros métodos, como ataques de ransomware.

«Además, apuntaría a un espectro más amplio de sectores y geografías en un esfuerzo por maximizar las ganancias potenciales», dice.

Estados Unidos, el Reino Unido y Australia han advertido recientemente que los ataques de grupos de ciberataques vinculados a Irán han estado aumentando las operaciones.

Se ha culpado al estado iraní de muchos esfuerzos anteriores dirigidos a civiles en Israel, incluidos los ataques a la infraestructura del agua y a una compañía de seguros.

En junio, Microsoft desactivó el grupo de piratería libanés Polonium, vinculado a Irán, después de que descubrió que los actores de amenazas abusaban de su servicio de almacenamiento private OneDrive. Entre las organizaciones objetivo se encontraban aquellas involucradas en la fabricación crítica, los sistemas de transporte, los servicios financieros, la TI y la industria de defensa de Israel, dice el gigante del software program, todo lo cual ofrecía una vía para llevar a cabo ataques a la cadena de suministro aguas abajo.



Enlace a la noticia first