Home Ciberguerra Ciberdelincuentes iraníes usan software de utilidades remotas, para espiar a sus objetivos

Ciberdelincuentes iraníes usan software de utilidades remotas, para espiar a sus objetivos

Piratas informáticos, con presuntos vínculos con Irán, están atacando activamente a instituciones académicas, agencias gubernamentales y entidades turísticas de Oriente Medio y regiones vecinas, como parte de una campaña de espionaje destinada al robo de datos.

Denominado “Earth Vetala” por Trend Micro, el último hallazgo amplía una investigación anterior publicada por Anomali el mes pasado, que encontró pruebas de actividad maliciosa dirigida a organismos gubernamentales de los EAU y Kuwait mediante la explotación de la herramienta de gestión remota ScreenConnect.

La empresa de ciberseguridad vinculó los ataques en curso con una confianza moderada a un actor de amenazas ampliamente rastreado como MuddyWater, un grupo de hackers iraní conocido por sus ofensivas principalmente contra las naciones de Oriente Medio.

Se dice que Earth Vetala ha aprovechado los correos electrónicos de spear-phishing que contenían enlaces incrustados a un popular servicio de intercambio de archivos llamado Onehub para distribuir malware que iba desde utilidades de volcado de contraseñas a puertas traseras personalizadas, antes de iniciar comunicaciones con un servidor de comando y control (C2) para ejecutar scripts PowerShell ofuscados.

Los propios enlaces dirigen a las víctimas a un archivo .ZIP que contiene un software legítimo de administración remota desarrollado por RemoteUtilities, capaz de descargar y cargar archivos, capturar pantallas, navegar por archivos y directorios, y ejecutar y terminar procesos.

Observando que las tácticas y técnicas entre las dos campañas que distribuyen RemoteUtilities y ScreenConnect son ampliamente similares, Trend Micro dijo que los objetivos de la nueva ola de ataques son principalmente organizaciones ubicadas en Azerbaiyán, Bahrein, Israel, Arabia Saudita y los EAU.

En un caso particular que involucra a un host comprometido en Arabia Saudita, los investigadores encontraron que el adversario trató de configurar sin éxito SharpChisel – una envoltura C# para una herramienta de túnel TCP/UDP llamada chisel – para las comunicaciones C2, antes de descargar una herramienta de acceso remoto, un ladrón de credenciales, y una puerta trasera PowerShell capaz de ejecutar comandos remotos arbitrarios.