Una organización islámica sin fines de lucro anónima en Arabia Saudita ha sido atacada como parte de una campaña sigilosa de ciberespionaje diseñada para eliminar una puerta trasera previamente indocumentada llamada zardoor.
Cisco Talos, que descubrió la actividad en mayo de 2023, dijo que la campaña probablemente ha persistido desde al menos marzo de 2021, y agregó que hasta la fecha solo ha identificado un objetivo comprometido, aunque se sospecha que podría haber otras víctimas.
«A lo largo de la campaña, el adversario utilizó binarios que viven de la tierra (LoLBins) para desplegar puertas traseras, establecer comando y control (C2) y mantener la persistencia», dijeron los investigadores de seguridad Jungsoo An, Wayne Lee y Vanja Svajcer. dichodestacando la capacidad del actor de amenazas para mantener el acceso a largo plazo a los entornos de las víctimas sin llamar la atención.
La intrusión dirigida a la organización benéfica islámica implicó la filtración periódica de datos aproximadamente dos veces al mes. Actualmente se desconoce el vector de acceso inicial exacto utilizado para infiltrarse en la entidad.
Sin embargo, el punto de apoyo obtenido se aprovechó para abandonar Zardoor por motivos de persistencia, seguido del establecimiento de conexiones C2 utilizando herramientas de proxy inverso de código abierto como Fast Reverse Proxy (FRP), calcetinesy Veneno.
«Una vez que se estableció una conexión, el actor de amenazas utilizó el Instrumental de administración de Windows (WMI) para moverse lateralmente y difundir las herramientas del atacante, incluido Zardoor, generando procesos en el sistema objetivo y ejecutando comandos recibidos del C2″, dijeron los investigadores.
La ruta de infección aún indeterminada allana el camino para un componente dropper que, a su vez, implementa una biblioteca de enlaces dinámicos maliciosa («oci.dll») que es responsable de entregar dos módulos de puerta trasera, «zar32.dll» y «zor32″. .dll.»
Mientras que el primero es el elemento central de puerta trasera que facilita las comunicaciones C2, el segundo garantiza que «zar32.dll» se haya implementado con privilegios de administrador. Zardoor es capaz de filtrar datos, ejecutar ejecutables y códigos de shell obtenidos de forma remota, actualizar la dirección IP C2 y eliminarse del host.
Los orígenes del actor de amenazas detrás de la campaña no están claros y no comparte ninguna superposición táctica con un actor de amenazas conocido y reportado públicamente en este momento. Dicho esto, se considera obra de un «actor de amenazas avanzado».