Investigadores descubren nueva campaña de piratería iraní dirigida a usuarios turcos

Investigadores descubren nueva campaña de piratería iraní dirigida a usuarios turcos Noticias

Han surgido detalles sobre una campaña de malware previamente no documentada realizada por el grupo iraní de amenazas persistentes avanzadas (APT) MuddyWater dirigida a organizaciones privadas e instituciones gubernamentales turcas.

«Esta campaña utiliza archivos PDF maliciosos, archivos XLS y ejecutables de Windows para implementar descargadores maliciosos basados ​​en PowerShell que actúan como puntos de apoyo iniciales en la empresa del objetivo», dijeron los investigadores de Cisco Talos, Asheer Malhotra y Vitor Ventura. dicho en un informe recién publicado.

El desarrollo se produce cuando el Comando Cibernético de EE. UU., a principios de este mes, vinculó la APT con el Ministerio de Inteligencia y Seguridad de Irán (MOIS).

Las intrusiones, que se cree que fueron orquestadas en noviembre de 2021, estaban dirigidas contra entidades gubernamentales turcas, incluido el Consejo de Investigación Científica y Tecnológica de Turquía (TÜBİTAK), utilizando documentos de Excel y archivos PDF como armas alojados en sitios web controlados por atacantes o de uso compartido de medios.

Estos maldocs se hicieron pasar por documentos legítimos de los Ministerios de Salud e Interior de Turquía, y los ataques comenzaron con la ejecución de macros maliciosas incrustadas en ellos para propagar la cadena de infección y colocar scripts de PowerShell en el sistema comprometido.

Una nueva adición al arsenal de tácticas, técnicas y procedimientos (TTP) del grupo es el uso de canary tokens en el código macro, un mecanismo que los investigadores sospechan que se está utilizando para rastrear la infección exitosa de objetivos, frustrar el análisis y detectar si la carga útil los servidores están siendo bloqueados en el otro extremo.

Fichas canarias, también conocidas como fichas de miel, son identificadores incrustados en objetos como documentos, páginas web y correos electrónicos que, cuando se abren, activan una alerta en forma de solicitud HTTP, alertando al operador de que se accedió al objeto.

Posteriormente, el script de PowerShell descarga y ejecuta la siguiente carga útil, también un script de PowerShell que reside en los metadatos del maldoc, que, a su vez, actúa como descargador de un tercer código de PowerShell no identificado que finalmente se ejecuta en el extremo infectado.

En una segunda variante de los ataques observados por Talos, se encontraron documentos PDF con enlaces incrustados que apuntaban a ejecutables de Windows en lugar de archivos de Excel, que luego instrumentaron la cadena de infección para implementar los descargadores de PowerShell.

Además, los investigadores dijeron que encontraron al menos dos versiones diferentes del ejecutable entregado por el adversario dirigido al sector de las telecomunicaciones en Armenia en junio de 2021 y entidades paquistaníes en agosto de 2021, lo que plantea la posibilidad de que MuddyWater haya participado en múltiples ataques como parte de una larga campaña continua.

La divulgación también sigue la liberar de una Notificación de la Industria Privada (PIN) de la Oficina Federal de Investigaciones (FBI) de EE. UU. la semana pasada, que detalla las actividades cibernéticas maliciosas de una empresa cibernética con sede en Irán llamada Emennet Pasargad, que estaba vinculada a una campaña de influencia sofisticada orquestada para interferir en el Elecciones presidenciales de 2020.

“Estos actores son altamente capaces y están motivados para realizar sus actividades de espionaje”, concluyeron los investigadores. «Con nuevas técnicas, como canary tokens que se utilizan para rastrear la infección exitosa de objetivos, MuddyWater ha demostrado su adaptabilidad y falta de voluntad para abstenerse de atacar a otras naciones».

David
Rate author
Hackarizona