Home Ciberguerra Kaspersky Lab: malware ligado a Irán, fue compartido por USCYBERCOM, inicialmente, en...

Kaspersky Lab: malware ligado a Irán, fue compartido por USCYBERCOM, inicialmente, en diciembre de 2016

Las muestras de malware compartidas por el Cibercomando de los Estados Unidos (USCYBERCOM) se han vinculado a ataques en los que el grupo de ciberespionaje vinculado a Irán realizó un seguimiento, mientras APT33 aprovechaba la vulnerabilidad de infección CVE-2017-11774.

Según Kaspersky, dos de los archivos subidos por USCYBERCOM fueron observados por primera vez hace dos años y medio, y fueron mencionados en un informe privado compartido con los clientes de la empresa de seguridad, detallando la actividad del actor de la amenaza NewsBeef (también conocido como Charming Kitten, Newscaster, y APT35).

El informe analiza los cambios observados en las tácticas del actor en el periodo 2015-2017, incluyendo una salida en 2016 de la tecnología del Browser Exploitation Framework (BeEF) hacia los documentos de Office habilitados para macros, PowerSploit y la puerta trasera de Pupy.

Los ataques observados a finales de 2016 y principios de 2017, revelaron el uso del nuevo conjunto de herramientas junto con correos electrónicos de pesca submarina, enlaces en mensajes privados y ataques a pozos de agua, y se centraron principalmente en objetivos saudíes, revela Kaspersky.

Las ofensivas de phishing submarino se basaron en documentos de Office para entregar scripts de PowerShell y descargar instaladores envenenados (como Flash, Citrix Client y Chrome) para ejecutar scripts de PowerSploit y obtener una puerta trasera Pupy con todas las funciones.

Los sitios web comprometidos fueron inyectados con JavaScript ofuscado que redirigía a los visitantes a hosts controlados por NewsBeef que rastreaban a las víctimas y servían contenido malicioso. El actor comprometió servidores pertenecientes al gobierno de Arabia Saudita y otras identidades organizativas de alto valor.

Como parte de la campaña, los piratas informáticos atacaron organizaciones financieras y administrativas del gobierno, organizaciones de salud del gobierno, organizaciones de ingeniería y técnicas, y una organización gubernamental británica relacionada con el trabajo (atacada varias veces).

La campaña se centró en infectar a las víctimas con Pupy, un sistema de código abierto, multiplataforma (Windows, Linux, OSX, Android) y puerta trasera multifunción. Principalmente escrito en Python, el backdoor utiliza código de herramientas de ataque de código abierto como PowerSploit, Mimikatz, laZagne, y más.

Durante mucho tiempo se ha dicho que los ciberespacios ligados a Irán comparten código malicioso, y las subidas de USCYBERCOM a VirusTotal, corroboradas con el informe de Kaspersky, lo confirman una vez más.

La puerta trasera de Pupy es conocida por formar parte del arsenal de malware empleado por APT33, que recientemente fue observado actualizando su infraestructura tras un informe de marzo de 2019 que detalla sus actividades.

El malware también ha sido asociado con el grupo de amenazas COBALT GYPSY, y vinculado a Shamoon, mediante el uso de un dominio.

Con información de: Security Week.