ForeLord, el nuevo malware, que roba credenciales, fue descubieto en recientes correos electrónicos de spear phishing. Los investigadores han atribuido la campaña a un conocido grupo iraní de amenaza, de persistencia avanzada (APT).
Los correos electrónicos que distribuyen ForeLord, fueron individualizados como parte de una campaña, que se desarrolla entre mediados de 2019 y mediados de enero de 2020. Los correos electrónicos estaban dirigidos a organizaciones en Turquía, Jordania, Irak, así como a organizaciones gubernamentales mundiales y entidades desconocidas en Georgia y Azerbaiyán, dijeron los investigadores el miércoles en la Conferencia de la RSA, que tiene lugar esta semana.
Citando la victimología y la similitud de código entre los macros de las muestras analizadas, y los macros documentados en los informes de código abierto, los investigadores han atribuido la campaña al grupo de amenaza del Ulster de Cobalto (también conocido como MuddyWater, Seedworm, TEMP.Zagros, y Static Kitten). Este grupo de APT ha tenido como objetivo histórico a las víctimas del gobierno en el Medio Oriente para extraer datos.
“Cobalt Ulster” es un grupo de amenaza activo cuyas operaciones son continuas. Creemos que este adversario sigue trabajando activamente para lograr sus objetivos estratégicos”, indicó Allison Wikoff, investigadora principal de seguridad de Secureworks.
Como parte de la campaña, los expertos observaron múltiples correos electrónicos utilizando archivos adjuntos maliciosos para obtener el acceso inicial. Mientras que históricamente los correos electrónicos de phishing del Cobalt Ulster utilizan como gancho un tema relacionado con una agencia gubernamental, una universidad o una organización de inteligencia, esta campaña más reciente utilizó un “estilo más genérico”.
Una vez descargado, ForeLord deja caer varias herramientas utilizadas para recoger credenciales, probar esas credenciales en la red y crear un túnel SSL inverso para proporcionar un canal de acceso adicional a la red.
“Los agentes de la amenaza utilizaron una lista de cuentas de usuario válidas del dominio de destino junto con una lista de contraseñas débiles para determinar las cuentas potencialmente accesibles”, dijeron los investigadores. “La lista de contraseñas podría ser aumentada para probar las credenciales capturadas de las herramientas de descarga de credenciales”.
Los investigadores dicen que a pesar de la amenaza de represalias de Irán por los recientes acontecimientos geopolíticos, esta campaña indica que los APT iraníes siguen centrándose en “la actividad de ciberespionaje de larga duración”.
El conflicto entre EE.UU. e Irán llegó a su punto máximo después de que los aviones no tripulados estadounidenses mataran el 3 de enero a Qassem Soleimani, un general iraní del Cuerpo de la Guardia Revolucionaria Islámica que era muy estimado en Irán. Tras la muerte de Soleimani, los líderes iraníes prometieron tomar represalias. Un sitio web del gobierno de los Estados Unidos fue objeto de vandalismo en enero por piratas informáticos que publicaron imágenes de un presidente ensangrentado, Donald Trump, recibiendo puñetazos en la cara y mensajes pro-iraníes.
Con información de: Threat Post.