Un grupo de piratería de amenazas persistentes avanzadas (APT) que opera con motivos que probablemente se alinean con Palestina se ha embarcado en una nueva campaña que aprovecha un implante previamente indocumentado llamado NimbleMamba.
Las intrusiones aprovecharon una cadena de ataque sofisticada dirigida a gobiernos de Medio Oriente, grupos de expertos en política exterior y una aerolínea afiliada al estado, la empresa de seguridad empresarial Proofpoint. dicho en un informe, atribuyendo la operación encubierta a un actor de amenazas rastreado como Molerats (también conocido como TA402).
Conocido por actualizar continuamente sus implantes de malware y sus métodos de entrega, el grupo APT se vinculó más recientemente a una ofensiva de espionaje dirigida a activistas de derechos humanos y periodistas en Palestina y Turquía, mientras que un ataque anterior expuesto en junio de 2021 resultó en el despliegue de una puerta trasera. llamado LastConn.
Pero la pausa en las actividades ha sido compensada por el trabajo activo de los operadores para reestructurar su arsenal, lo que resultó en el desarrollo de NimbleMamba, que está diseñado para reemplazar a LastConn, que, a su vez, se cree que es una versión mejorada de otra puerta trasera llamada SharpStage que fue utilizado por el mismo grupo como parte de sus campañas en diciembre de 2020.
«NimbleMamba usa barandillas para garantizar que todas las víctimas infectadas estén dentro de la región de destino de TA402», dijeron los investigadores, y agregaron que el malware «usa la API de Dropbox tanto para comando y control como para exfiltración», lo que sugiere su uso en «inteligencia altamente dirigida». campañas de recolección”.
También se entrega un troyano denominado BrittleBush que establece comunicaciones con un servidor remoto para recuperar comandos codificados en Base64 para ejecutarlos en las máquinas infectadas. Además, se dice que los ataques ocurrieron junto con la actividad maliciosa mencionada anteriormente dirigida a Palestina y Turquía.
La secuencia de infección refleja exactamente la misma técnica utilizada por el actor de amenazas para comprometer sus objetivos. Los correos electrónicos de spear-phishing, que actúan como punto de partida, contienen enlaces geovallados que conducen a cargas útiles de malware, pero solo si el destinatario se encuentra en una de las regiones objetivo. Si los objetivos viven fuera del radio de ataque, los enlaces redirigen al usuario a un sitio web de noticias benigno como Emarat Al Youm.
Sin embargo, las variaciones más recientes de la campaña en diciembre de 2021 y enero de 2022 involucraron el uso de URL de Dropbox y sitios de WordPress controlados por atacantes para entregar archivos RAR maliciosos que contienen NimbleMamba y BrittleBush.
El desarrollo es el último ejemplo de adversarios que utilizan servicios en la nube, como Dropbox, para lanzar sus ataques, sin mencionar la rapidez con la que los actores sofisticados pueden responder a las revelaciones públicas de sus métodos de invasión para crear algo potente y efectivo que pueda superar la seguridad y la detección. capas.
«TA402 continúa siendo un actor de amenazas eficaz que demuestra su persistencia con sus campañas altamente específicas centradas en el Medio Oriente», concluyeron los investigadores. «El [two] Las campañas demuestran la capacidad continua de Molerats para modificar su cadena de ataque en función de sus objetivos de inteligencia».
