Un grupo de amenazas persistentes avanzadas (APT) con vínculos con Irán actualizó su conjunto de herramientas de malware para incluir una nueva puerta trasera denominada Aguja como parte de una campaña de espionaje de larga duración que comenzó en abril de 2018.
La empresa eslovaca de ciberseguridad ESET atribuyó los ataques: nombre en código Hacia el mar – a un actor de amenazas llamado OilRig (también conocido como APT34), mientras que también conecta de manera concluyente sus actividades con un segundo grupo iraní rastreado bajo el nombre de Lyceum (Hexane, también conocido como SiameseKitten).
«Las víctimas de la campaña incluyen organizaciones diplomáticas, empresas de tecnología y organizaciones médicas en Israel, Túnez y los Emiratos Árabes Unidos», señaló ESET en su Informe de amenazas T3 2021 compartido con The Hacker News.
Activo desde al menos 2014, se sabe que el grupo de piratería ataca a los gobiernos de Medio Oriente y una variedad de negocios verticales, incluidos los químicos, energéticos, financieros y de telecomunicaciones. En abril de 2021, el actor apuntó a una entidad libanesa con un implante llamado SideTwist, mientras que las campañas previamente atribuidas a Lyceum han señalado a empresas de TI en Israel, Marruecos, Túnez y Arabia Saudita.
Las cadenas de infección de Lyceum también se destacan por el hecho de que han evolucionado para eliminar múltiples puertas traseras desde que salió a la luz la campaña en 2018, comenzando con DanBot y pasando a Shark y Milan en 2021, con ataques detectados en agosto de 2021 aprovechando una nueva recopilación de datos. malware llamado Marlin.
Los cambios no terminan ahí. En lo que es una desviación significativa de los TTP tradicionales de OilRig, que han implicado el uso de DNS y HTTPS para comunicaciones de comando y control (C&C), Marlin utiliza la API OneDrive de Microsoft para sus operaciones C2.
ESET, señalando que el acceso inicial a la red se logró por medio de spear-phishing, así como acceso remoto y software de administración como ITbrain y TeamViewer, citó similitudes en herramientas y tácticas entre las puertas traseras de OilRig y las de Lyceum como «demasiado numerosas y específicas». «
«La puerta trasera de ToneDeaf se comunicaba principalmente con su C&C a través de HTTP/S, pero incluía un método secundario, el túnel DNS, que no funciona correctamente», dijeron los investigadores. «Shark tiene síntomas similares, donde su método de comunicación principal usa DNS pero tiene una opción secundaria HTTP/S no funcional».
tono sordoque admite la recopilación de información del sistema, la carga y descarga de archivos y la ejecución arbitraria de comandos de shell, es una familia de malware implementada por el actor APT34 dirigida a una amplia gama de industrias que operan en el Medio Oriente en julio de 2019.
Además, los hallazgos también señalaron el uso superpuesto de DNS como un canal de comunicación de C&C, mientras que también emplean HTTP/S como un método de comunicación secundario y el uso de múltiples carpetas en el directorio de trabajo de una puerta trasera para cargar y descargar archivos desde el servidor de C&C.
