Un actor de amenazas de un estado-nación iraní ha sido vinculado a una nueva ola de ataques de phishing dirigidos a Israel que está diseñado para implementar una versión actualizada de una puerta trasera llamada Impotente.
La firma de ciberseguridad Check Point está rastreando el grupo de actividad bajo su nombre de criatura mítica Mantícora educadaque exhibe “fuertes superposiciones” con un equipo de piratería conocido como APT35, Charming Kitten, Cobalt Illusion, ITG18, Mint Sandstorm (anteriormente Phosphorus), TA453 y Yellow Garuda.
“Al igual que muchos otros actores, Educated Manticore adoptó tendencias recientes y comenzó a usar imágenes ISO y posiblemente otros archivos para iniciar cadenas de infección”, dijo la compañía israelí. dicho en un informe técnico publicado hoy.
Activo desde al menos 2011, APT35 ha emitido un amplia red de objetivos aprovechando las personas falsas de las redes sociales, las técnicas de phishing selectivo y las vulnerabilidades de día N en las aplicaciones expuestas a Internet para obtener acceso inicial y eliminar varias cargas útiles, incluido el ransomware.
El desarrollo es una indicación de que el adversario está refinando y actualizando continuamente su arsenal de malware para expandir su funcionalidad y resistir los esfuerzos de análisis, al mismo tiempo que adopta métodos mejorados para evadir la detección.
La cadena de ataque documentada por Check Point comienza con un archivo de imagen de disco ISO que hace uso de señuelos con temas de Irak para lanzar un descargador personalizado en memoria que finalmente lanza el implante PowerLess.
El archivo ISO actúa como un conducto para mostrar un documento señuelo escrito en árabe, inglés y hebreo, y pretende presentar contenido académico sobre Irak de una entidad legítima sin fines de lucro llamada Arab Science and Technology Foundation (ASTF), lo que indica que el comunidad de investigación puede haber sido el objetivo de la campaña.
La puerta trasera PowerLess, previamente destacada por Cybereason en febrero de 2022, viene con capacidades para robar datos de navegadores web y aplicaciones como Telegram, tomar capturas de pantalla, grabar audio y registrar pulsaciones de teclas.
“Si bien la nueva carga útil de PowerLess sigue siendo similar, sus mecanismos de carga han mejorado significativamente, adoptando técnicas que rara vez se ven en la naturaleza, como el uso de archivos binarios .NET creados en Modo mezclado con código ensamblador”, dijo Check Point.
“Impotente [command-and-control] la comunicación con el servidor está codificada en Base64 y cifrada después de obtener una clave del servidor. Para engañar a los investigadores, el actor de amenazas agrega activamente tres letras aleatorias al comienzo de la mancha codificada”.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
La firma de seguridad cibernética dijo que también descubrió otros dos archivos utilizados como parte de un conjunto de intrusión diferente que comparte superposiciones con la secuencia de ataque antes mencionada debido al uso del mismo archivo PDF con el tema de Irak.
Un análisis posterior ha revelado que las cadenas de infección que surgen de estos dos archivos de almacenamiento culminan en la ejecución de un script de PowerShell que está diseñado para descargar dos archivos de un servidor remoto y ejecutarlos.
“Educated Manticore continúa evolucionando, refinando conjuntos de herramientas observados anteriormente y entregando mecanismos”, dijo Check Point, y agregó que “el actor adopta tendencias populares para evitar la detección” y sigue “desarrollando conjuntos de herramientas personalizados utilizando técnicas avanzadas”.
“Debido a que es una versión actualizada del malware informado anteriormente, […] es importante tener en cuenta que podría representar solo las primeras etapas de la infección, con fracciones significativas de actividad posterior a la infección aún por verse en la naturaleza”.