Un actor de amenaza del nexo con Irán conocido como UNC1549 se ha atribuido con un nivel de confianza medio a un nuevo conjunto de ataques dirigidos a las industrias aeroespacial, de aviación y de defensa en Oriente Medio, incluidos Israel y los Emiratos Árabes Unidos.
Otros objetivos de la actividad de ciberespionaje probablemente incluyan Turquía, India y Albania, dijo Mandiant, propiedad de Google, en un nuevo análisis.
Se dice que UNC1549 se superpone con Smoke Sandstorm (anteriormente Bohrium) y Crimson Sandstorm (anteriormente Curium), el último de los cuales es un grupo afiliado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) que también se conoce como Imperial Kitten, TA456, Tortoiseshell y Yellow Liderc. .
«Esta actividad sospechosa de UNC1549 ha estado activa desde al menos junio de 2022 y aún continúa en febrero de 2024», dijo la compañía. dicho. «Aunque son de naturaleza regional y se centran principalmente en Medio Oriente, el objetivo incluye entidades que operan en todo el mundo».
Los ataques implican el uso de la infraestructura en la nube de Microsoft Azure para comando y control (C2) e ingeniería social que involucra señuelos relacionados con el trabajo para entregar dos puertas traseras denominadas MINIBIKE y MINIBUS.
Los correos electrónicos de phishing están diseñados para difundir enlaces a sitios web falsos que contienen Contenido relacionado con Israel y Hamas u ofertas de trabajo falsas, lo que resulta en el despliegue de una carga útil maliciosa. También se observan páginas de inicio de sesión falsas que imitan a las principales empresas para recopilar credenciales.
Las puertas traseras personalizadas, al establecer el acceso C2, actúan como un conducto para la recopilación de inteligencia y para un mayor acceso a la red objetivo. Otra herramienta implementada en esta etapa es un software de túnel llamado LIGHTRAIL que se comunica mediante la nube de Azure.
Si bien MINIBIKE está basado en C++ y es capaz de exfiltración y carga de archivos, y ejecución de comandos, MINIBUS sirve como un «sucesor más robusto» con funciones de reconocimiento mejoradas.
«La inteligencia recopilada sobre estas entidades es relevante para los intereses estratégicos iraníes y puede utilizarse para espionaje así como para operaciones cinéticas», dijo Mandiant.
«Los métodos de evasión desplegados en esta campaña, es decir, los señuelos personalizados con temas laborales combinados con el uso de infraestructura en la nube para C2, pueden dificultar que los defensores de la red prevengan, detecten y mitiguen esta actividad».
CrowdStrike, en su Informe de amenazas globales para 2024, describió cómo «los falsivistas asociados con adversarios del nexo entre el estado iraní y los hacktivistas que se califican a sí mismos como ‘pro-palestinos’ se centraron en atacar infraestructura crítica, sistemas de alerta de proyectiles aéreos israelíes y actividades destinadas a fines de operaciones de información en 2023».
Esto incluye Banished Kitten, que desató el malware limpiador BiBi, y Vengeful Kitten, un alias de Moses Staff que ha afirmado actividades de borrado de datos contra sistemas de control industrial (ICS) de más de 20 empresas en Israel.
Dicho esto, los adversarios vinculados a Hamás han estado notablemente ausentes de las actividades relacionadas con el conflicto, algo que la empresa de ciberseguridad ha atribuido a posibles interrupciones en el suministro eléctrico y de Internet en la región.