sábado, 23 de mayo de 2020

El grupo iraní APT se dirige a los gobiernos en Kuwait y Arabia Saudita


Hoy, los investigadores de ciberseguridad arrojan luz sobre una campaña iraní de ciberespionaje dirigida contra infraestructuras críticas en Kuwait y Arabia Saudita.


Bitdefender dijo que las operaciones de recolección de inteligencia fueron realizadas por Chafer APT (también conocido como APT39 o Remix Kitten), un actor de amenazas conocido por sus ataques a las industrias de telecomunicaciones y viajes en el Medio Oriente para recopilar información personal que sirva a los intereses geopolíticos del país.


"Las víctimas de las campañas analizadas se ajustan al patrón preferido por este actor, como el transporte aéreo y los sectores gubernamentales en Medio Oriente", dijeron los investigadores en un informe (PDF)compartido con The Hacker News, agregando que al menos uno de los ataques no se descubrió durante más de un año y medio desde 2018.


"Las campañas se basaron en varias herramientas, incluidas las herramientas 'vivir de la tierra', lo que dificulta la atribución, ya que así como diferentes herramientas de pirateo y una puerta trasera personalizada ".

Conocido por estar activo desde 2014, el APT Chafer ha apuntado previamente a organizaciones gubernamentales turcas y entidades diplomáticas extranjeras con sede en Irán con el objetivo de extraer datos confidenciales.


Un informe de FireEye del año pasado se sumó a la creciente evidencia del enfoque de Chafer en las industrias de telecomunicaciones y viajes. "Las empresas de telecomunicaciones son objetivos atractivos dado que almacenan grandes cantidades de información personal y de clientes, proporcionan acceso a la infraestructura crítica utilizada para las comunicaciones y permiten el acceso a una amplia gama de objetivos potenciales en múltiples verticales", dijo la compañía.


APT39 compromete sus objetivos a través de correos electrónicos de phishing con archivos adjuntos maliciosos y utiliza una variedad de herramientas de puerta trasera para establecerse, elevar sus privilegios, realizar reconocimientos internos y establecer persistencia en el entorno de la víctima.


Lo que hace que el ataque de Kuwait sea más elaborado, según Bitdefender, es su capacidad para crear una cuenta de usuario en la máquina de las víctimas y realizar acciones maliciosas dentro de la red, incluido el escaneo de red (CrackMapExec), la recolección de credenciales (Mimikatz) y moverse lateralmente dentro Las redes utilizan un amplio arsenal de herramientas a su disposición.


La mayor parte de la actividad ocurre el viernes y el sábado, coincidiendo con el fin de semana en el Medio Oriente, dijeron los investigadores.


El ataque contra una entidad de Arabia Saudita, por otro lado, implicó el uso de ingeniería social para engañar a la víctima para que ejecute una herramienta de administración remota (RAT), con algunos de sus componentes compartiendo similitudes con los utilizados contra Kuwait y Turquía .

"Si bien este ataque no fue tan extenso como el de Kuwait, algunas pruebas forenses sugieren que los mismos atacantes podrían haberlo orquestado", dijeron los investigadores. "A pesar de la evidencia del descubrimiento de la red, no pudimos encontrar ningún rastro de movimiento lateral, probablemente porque los actores de la amenaza no pudieron encontrar máquinas vulnerables".


Los ataques contra Kuwait y Arabia Saudita son un recordatorio de que los esfuerzos de ciberespionaje de Irán no han mostrado signos de desaceleración. Dada la naturaleza crucial de las industrias involucradas, las acciones de Chafer continúan la tendencia de golpear a los países que actúan en contra de sus ambiciones nacionales.


"Si bien estos dos son los ejemplos de ataque más recientes que ocurren en el Medio Oriente, es importante entender que este tipo de ataque puede ocurrir en cualquier parte del mundo, y las infraestructuras críticas como el gobierno y el transporte aéreo siguen siendo objetivos muy sensibles", dijo Bitdefender.

No olvides Compartir... 
Siguenos en twitter: @disoftin - @fredyavila

No hay comentarios:

Publicar un comentario

Más leídas este mes