Home Ciberguerra El grupo cibernético iraní OilRig ataca al gobierno iraquí, con un sofisticado...

El grupo cibernético iraní OilRig ataca al gobierno iraquí, con un sofisticado malware

Las redes del gobierno iraquí se han convertido en el objetivo de una campaña de ciberataques “elaborada” orquestada por un actor de amenazas patrocinado por el estado iraní llamado OilRig.

Los ataques apuntaron a organizaciones iraquíes como la Oficina del Primer Ministro y el Ministerio de Asuntos Exteriores, dijo la empresa de ciberseguridad Check Point en un nuevo análisis.

OilRig, también llamado APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm (anteriormente EUROPIUM) y Helix Kitten, es un grupo cibernético iraní asociado con el Ministerio de Inteligencia y Seguridad de Irán (MOIS).

El grupo, que lleva en activo al menos desde 2014, tiene un historial de ataques de phishing en Oriente Medio para introducir una variedad de puertas traseras personalizadas, como Karkoff, Shark, Marlin, Saitama, MrPerfectionManager, PowerExchange, Solar, Mango y Menorah, con el fin de robar información.

Algunas de las acciones que el actor de la amenaza llevó a cabo al ejecutar el ataque y después de él fueron consistentes con las tácticas, técnicas y procedimientos (TTP) que OilRig ha empleado al llevar a cabo operaciones similares en el pasado.

Esto incluye el uso de canales C2 basados ​​en correo electrónico, específicamente aprovechando buzones de correo electrónico previamente comprometidos para emitir comandos y exfiltrar datos. Este modus operandi ha sido común a varias puertas traseras como Karkoff, MrPerfectionManager y PowerExchange.

Check Point dijo que su análisis de la infraestructura del actor de amenazas condujo al descubrimiento de un archivo de configuración XML diferente que probablemente esté asociado con una tercera puerta trasera de túnel SSH.

Además, identificó una puerta trasera basada en HTTP, CacheHttp.dll, que apunta a los servidores de Internet Information Services (IIS) de Microsoft y examina las solicitudes web entrantes en busca de eventos “OnGlobalPreBeginRequest” y ejecuta comandos cuando ocurren.