Ciberdelincuentes iraníes de OilRig, utilizan una nueva puerta trasera para filtrar datos de organizaciones gubernamentales

El grupo de piratas informáticos iraní, conocido como OilRig, ha seguido atacando a organizaciones gubernamentales de Oriente Medio como parte de una campaña de ciberespionaje que aprovecha una nueva puerta trasera para filtrar datos.

“La campaña abusa de cuentas de correo electrónico legítimas pero comprometidas para enviar los datos robados a cuentas de correo externas controladas por los atacantes”, explican los investigadores de Trend Micro Mohamed Fahmy, Sherif Magdy y Mahmoud Zohdy.

Aunque la técnica en sí no es desconocida, es la primera vez que OilRig la incluye en su libro de jugadas, lo que indica la continua evolución de sus métodos para eludir las protecciones de seguridad.

El grupo de amenazas persistentes avanzadas (APT), también conocido como APT34, Cobalt Gypsy, Europium y Helix Kitten, ha sido documentado por sus ataques de phishing dirigidos en Oriente Medio desde al menos 2014.

Vinculado al Ministerio de Inteligencia y Seguridad de Irán (MOIS), se sabe que el grupo utiliza un conjunto de herramientas diversas en sus operaciones, con ataques recientes en 2021 y 2022 que emplean puertas traseras como Karkoff, Shark, Marlin y Saitama para el robo de información.

El punto de partida de la última actividad es un dropper basado en .NET que se encarga de entregar cuatro archivos diferentes, incluido el implante principal (“DevicesSrv.exe”) responsable de extraer archivos específicos de interés.

También se utiliza en la segunda fase un archivo de biblioteca de vínculos dinámicos (DLL) capaz de recopilar credenciales de usuarios de dominio y cuentas locales.

El aspecto más notable del backdoor .NET es su rutina de exfiltración, que consiste en utilizar las credenciales robadas para enviar misivas electrónicas a direcciones de Gmail y Proton Mail controladas por los actores.

Las conexiones de la campaña con APT34 se derivan de las similitudes entre el dropper de la primera etapa y Saitama, los patrones victimológicos y el uso de servidores Exchange orientados a Internet como método de comunicación, como se observó en el caso de Karkoff.

En todo caso, el creciente número de herramientas maliciosas asociadas a OilRig indica la “flexibilidad” del actor de la amenaza para idear nuevos programas maliciosos basados en los entornos objetivo y los privilegios poseídos en una determinada fase del ataque.