El grupo APT34, que tiene nexo con Irán, ha apuntado a una empresa de investigación con sede en los Estados Unidos que presta servicios a empresas y organizaciones gubernamentales.
Los expertos en seguridad de Intezer, observaron ataques dirigidos a una empresa de investigación con sede en los Estados Unidos que presta servicios a compañía y organizaciones gubernamentales.
“Nuestros investigadores Paul Litvak y Michael Kajilolti han descubierto una nueva campaña llevada a cabo por APT34 empleando un conjunto de herramientas actualizadas. Basándose en documentos de phishing descubiertos, creemos que este actor iraní tiene como objetivo a los empleados de Westat, o a organizaciones de Estados Unidos que contratan servicios de Westat”, dice el análisis publicado por Intezer.
Los investigadores creen que el atacante fue lanzado por el grupo de ciber-espionaje APT34 (alias OilRig o Helix Kitten). APT34 es un grupo de APT vinculado a Irán, que existe desde, al menos, 2014, y que se dirige principalmente a organizaciones de los sectores financiero, gubernamental, energético, de telecomunicaciones y químico de los Estados Unidos y los países de Oriente Medio.
La reciente campaña parece similar a la observada por FireEye en julio de 2019, cuando los piratas informáticos se hacían pasar por un investigador de Cambridge para infectar a las víctimas con tres nuevos programas maliciosos.
Según Intezer, los atacantes utilizaron un documento de phishing disfrazado de encuesta de satisfacción de los empleados del contratista del gobierno estadounidense Westat.
La encuesta se distribuyó por correo electrónico como hojas de cálculo de Excel. Una vez que las macros dentro del fueron activadas, el código malicioso descargó e instaló el backdoor TONEDEAF y el robador de contraseñas VALUEVAULT.
Los dos malware utilizados en esta campaña (rastreados como TONEDEAF 2.0 y VALUEVAULT 2.0) también se emplearon en la campaña observada en julio de 2019, pero incluyen importantes actualizaciones que se desarrollaron para este ataque específico.
Otra evidencia recogida por los investigadores es que la versión del autor del documento de Microsoft Excel tiene instalado el árabe como idioma preferido.”El análisis técnico de las nuevas variantes de malware muestra que el grupo ha estado invirtiendo un esfuerzo sustancial en la actualización de sus herramientas en un intento de permanecer indetectable después de haber sido expuesto, y parece que ese esfuerzo está generalmente apagado”, concluye Intezer.
