El prolífico grupo de estado-nación iraní conocido como gatito encantador está apuntando activamente a múltiples víctimas en los EE. UU., Europa, Medio Oriente e India con un nuevo malware denominado BellaCiaoque se suma a su lista en constante expansión de herramientas personalizadas.
Descubierto por Bitdefender Labs, BellaCiao es un «cuentagotas personalizado» que es capaz de entregar otras cargas útiles de malware en una máquina víctima en función de los comandos recibidos de un servidor controlado por un actor.
«Cada muestra recolectada estaba vinculada a una víctima específica e incluía información codificada como el nombre de la empresa, subdominios especialmente diseñados o la dirección IP pública asociada», dijo la firma rumana de ciberseguridad. dicho en un informe compartido con The Hacker News.
Charming Kitten, también conocido como APT35, Cobalt Illusion, Educated Manticore, ITG18, Mint Sandstorm (née Phosphorus), TA453 y Yellow Garuda, es un grupo APT patrocinado por el estado iraní asociado con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC).
A lo largo de los años, el grupo ha utilizado varios medios para implementar puertas traseras en sistemas que pertenecen a una amplia gama de industrias verticales.
El desarrollo se produce cuando Microsoft atribuyó al actor de amenazas los ataques de represalia dirigidos a entidades de infraestructura crítica en los EE. UU. Entre finales de 2021 y mediados de 2022 utilizando malware a medida como harmPower, Drokbk y Soldier.
Luego, a principios de esta semana, Check Point reveló el uso de Mint Sandstorm de una versión actualizada del implante PowerLess para atacar a organizaciones ubicadas en Israel utilizando señuelos de phishing con temática de Irak.
«El malware desarrollado a medida, también conocido como malware ‘a la medida’, generalmente es más difícil de detectar porque está diseñado específicamente para evadir la detección y contiene un código único», señaló el investigador de Bitdefender Martin Zugec.
El modus operandi exacto utilizado para lograr la intrusión inicial aún no se ha determinado, aunque se sospecha que implica la explotación de vulnerabilidades conocidas en aplicaciones expuestas a Internet como Microsoft Exchange Server o Zoho ManageEngine.
Una infracción exitosa es seguida por el actor de amenazas que intenta deshabilitar Microsoft Defender mediante un comando de PowerShell y establece la persistencia en el host a través de un instancia de servicio.
Bitdefender dijo que también observó a Charming Kitten descargando dos módulos de Internet Information Services (IIS) capaces de procesar instrucciones entrantes y filtrar credenciales.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
BellaCiao, por su parte, también se destaca por realizar una solicitud de DNS cada 24 horas para resolver un subdominio en una dirección IP que luego se analiza para extraer los comandos que se ejecutarán en el sistema comprometido.
«La dirección IP resuelta es como la dirección IP pública real, pero con ligeras modificaciones que permiten a BellaCiao recibir más instrucciones», explicó Zugec.
Se comunica «con un servidor DNS controlado por un atacante que envía instrucciones codificadas maliciosas a través de una dirección IP resuelta que imita la dirección IP real del objetivo. El resultado es malware adicional que se elimina a través de instrucciones codificadas en lugar de una descarga tradicional».
Dependiendo de la dirección IP resuelta, la cadena de ataque conduce a la implementación de un shell web que admite la capacidad de cargar y descargar archivos arbitrarios, así como ejecutar comandos.
También se detectó una segunda variante de BellaCiao que sustituye el shell web por una herramienta Plink, una utilidad de línea de comandos para PuTTY, que está diseñada para establecer una conexión de proxy inverso a un servidor remoto e implementar funciones de puerta trasera similares.
Se evalúa que los ataques se encuentran en la segunda etapa después de los ataques oportunistas, en los que BellaCiao se personaliza y despliega contra víctimas de interés cuidadosamente seleccionadas luego de la explotación indiscriminada de sistemas vulnerables.
«La mejor protección contra los ataques modernos implica implementar una arquitectura de defensa en profundidad», concluyó Zugec. «El primer paso en este proceso es reducir la superficie de ataque, lo que implica limitar la cantidad de puntos de entrada que los atacantes pueden usar para obtener acceso a sus sistemas y parchear rápidamente las vulnerabilidades recién descubiertas».