Cybereason ha anunciado haber descubierto de nuevas variantes de malware no identificadas anteriormente, que se están utilizando en dos operaciones de ciberespionaje patrocinadas por el Estado iraní y dirigidas a una amplia gama de organizaciones en múltiples regiones del mundo. Una de las operaciones maliciosas despliega ransomware contra objetivos después de la exfiltración de datos con el fin de infligir daños a los sistemas, así como para obstaculizar las investigaciones forenses, y la otra muestra una conexión con el ransomware Memento recientemente documentado. La investigación de Cybereason sigue de cerca el anuncio del Comando Cibernético de la Fuerza de Misión Cibernética Nacional (CNMF) de Estados Unidos sobre el abuso de múltiples herramientas de código abierto por parte de los actores de la amenaza iraní. Los investigadores de Cybereason han observado un abuso similar de herramientas de código abierto en las dos campañas de ataque iraníes investigadas.
Índice de temas
Informe sobre el troyano de acceso remoto (RAT) StrifeWater
Los investigadores de Cybereason han descubierto un troyano de acceso remoto (RAT) no documentado anteriormente, denominado StrifeWater, que la empresa atribuye al agente de amenazas iraní Moses Staff. Se ha observado que esta amenaza avanza persistente (APT) se dirige a organizaciones de Estados Unidos, Israel, India, Alemania, Italia, Emiratos Árabes Unidos, Chile y Turquía con el fin de promover los objetivos geopolíticos del régimen iraní. Tras infiltrarse en una organización y extraer datos sensibles, los atacantes despliegan un ransomware destructivo para causar interrupciones operativas y dificultar la tarea de investigación forense.
Principales hallazgos de la investigación:
- Novedoso troyano de acceso remoto (RAT): el RAT StrifeWater, no documentado anteriormente, se utiliza en la fase inicial del ataque y se sustituye posteriormente por otras herramientas, una táctica probablemente utilizada para permitir que el malware no se descubriera hasta ahora.
- Diversas funcionalidades: las capacidades del RAT StrifeWater incluyen listar archivos del sistema, ejecutar comandos del sistema, tomar capturas de pantalla, crear persistencia y descargar actualizaciones y módulos auxiliares.
- Ransomware patrocinado por el Estado: Moses Staff emplea el ransomware tras la exfiltración, no para obtener beneficios económicos, sino para interrumpir las operaciones, ocultar la actividad de espionaje e infligir daños a los sistemas para promover los objetivos geopolíticos de Irán.
- Informe completo: StrifeWater RAT: Iranian APT Moses Staff Adds New Trojan to Ransomware Operations
Informe sobre el malware de tipo backdoor PowerLess
Los investigadores de Cybereason han descubierto un nuevo conjunto de herramientas desarrolladas por el grupo Phosphorus (alias Charming Kitten o APT35) que incluye un novedoso programa maligno de tipo backdoor basado en PowerShell apodado PowerLess. Cybereason también ha observado una dirección IP utilizada en los ataques que ha sido identificada previamente como parte del comando y control (C2) del recientemente documentado ransomware Memento. Phosphorus es conocido por atacar a organizaciones de investigación médica y académica, activistas de derechos humanos, al sector de los medios de comunicación, por explotar vulnerabilidades conocidas de Microsoft Exchange Server y por intentar interferir en las elecciones estadounidenses.
Estas campañas de ataques ponen de manifiesto la difusa línea que hay entre los actores de las amenazas del Estado-nación y la ciberdelincuencia
Principales hallazgos de la investigación:
- Novedoso backdoor PowerShell: el backdoor PowerLess, previamente indocumentado, presenta cargas útiles adicionales que incluyen un keylogger y un ladrón de información.
- Ejecución evasiva de PowerShell: el código PowerShell se ejecuta en el contexto de una aplicación .NET por lo que no lanza “powershell.exe” lo que le permite evadir los productos de seguridad.
- Malware modular: el conjunto de herramientas analizadas incluye un malware extremadamente modular y de múltiples fases que descifra y despliega cargas útiles adicionales en varias etapas buscando tanto el sigilo como la eficacia.
- IOCs compartidos con el ransomware Memento: una de las direcciones IP sirve a un dominio que está siendo utilizado como comando y control (C2) para el recientemente descubierto Memento Ransomware.
- Uso de exploits disponibles públicamente: el Grupo Phosphorus ha sido detectado explotando vulnerabilidades en Microsoft Exchange (ProxyShell) y Log4j (Log4Shell).
- Informe completo: PowerLess Trojan: Iranian APT Phosphorus Adds Novel PowerShell Backdoor for Espionage
“Estas campañas de ataques ponen de manifiesto la difusa línea que hay entre los actores de las amenazas del Estado-nación y la ciberdelincuencia, ya que las bandas de ransomware emplean a menudo tácticas similares a las de las amenazas avanzadas persistentes (APT) para infiltrarse lo más posible en una red objetivo sin ser detectadas, y las APT aprovechan las herramientas de la ciberdelincuencia como el ransomware para distraer, destruir y, en última instancia, cubrir sus huellas”, afirma el cofundador y CEO de Cybereason, Lior Div. “Para los defensores, ya no hay una distinción significativa entre los adversarios del Estado-nación y las sofisticadas operaciones cibercriminales. Por eso es crucial para nosotros, como defensores, mejorar colectivamente nuestras capacidades de detección y prevención si queremos dar respuesta a estas amenazas en constante evolución“.
