Los cazadores de amenazas están llamando la atención sobre una nueva campaña de phishing altamente dirigida que destacó “menos de cinco” entidades en los Emiratos Árabes Unidos (EAU) para entregar una puerta trasera de Golang previamente indocumentada denominada Sosano.
La actividad maliciosa se dirigió específicamente contra las organizaciones de comunicaciones de aviación y satélite, según Proofpoint, que la detectó a fines de octubre de 2024. La empresa de seguridad empresarial está rastreando el clúster emergente bajo el apodo Unk_craftycamel.
Un aspecto notable de la cadena de ataque es el hecho de que el adversario aprovechó su acceso a una cuenta de correo electrónico comprometida que pertenece a la compañía de electrónica india Indic Electronics para enviar mensajes de phishing. Se dice que la entidad tenía una relación comercial confiable con todos los objetivos, con los señuelos adaptados a cada uno de ellos.
“Unk_craftycamel aprovechó una compañía de electrónica india comprometida para apuntar a menos de cinco organizaciones en los Emiratos Árabes Unidos con un archivo zip malicioso que aprovechó múltiples archivos de Polyglot para eventualmente instalar un Sosano de Backdoor personalizado”, dijo Proofpoint en un informe compartido con las noticias del hacker.
Los correos electrónicos contenían URL que apuntaban a un dominio falso disfrazados de la compañía india (“Indicelectronics[.]net “), alojando un archivo zip que incluía un archivo XLS y dos archivos PDF.
Pero en realidad, el archivo XLS era un atajo de Windows (LNK) usando una doble extensión para pasar como un documento de Microsoft Excel. Los dos archivos PDF, por otro lado, resultaron ser políglots: uno que se agregó con un archivo de aplicación HTML (HTA) y el otro con un archivo zip adjunto.
Esto también significaba que ambos archivos PDF podrían interpretarse como dos formatos válidos diferentes dependiendo de cómo se analicen utilizando programas como exploradores de archivos, herramientas de línea de comandos y navegadores.
La secuencia de ataque analizada por PruebePoint implica usar el archivo LNK para iniciar cmd.exe y luego usar mshta.exe para ejecutar el archivo PDF/HTA Polyglot, lo que lleva a la ejecución del script HTA que, a su vez, contiene instrucciones para desempaquetar el contenido del archivo ZIP presente dentro del segundo PDF.
Uno de los archivos en el segundo PDF es un archivo de acceso directo a Internet (URL) que es responsable de cargar un binario, que posteriormente busca un archivo de imagen que sea finalmente Xored con la cadena “234567890ABCDEF” para decodificar y ejecutar la puerta trasera DLL llamada Sosano.
Escrito en Golang, el implante lleva una funcionalidad limitada para establecer el contacto con un servidor de comando y control (C2) y espera más comandos-
- sosanopara obtener el directorio actual o cambiar el directorio de trabajo
- yangompara enumerar el contenido del directorio actual
- lunespara descargar y lanzar una carga útil desconocida de la próxima etapa
- raianpara eliminar o eliminar un directorio
- lunnapara ejecutar un comando shell
Proofpoint señaló que la artesanía demostrada por unk_craftycamel no se superpone con ningún otro actor o grupo de amenazas conocido.
“Nuestro análisis sugiere que esta campaña es probablemente el trabajo de un adversario alineado iraní, posiblemente afiliado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC)”, dijo Joshua Miller, investigador de amenazas de personal apto en Proofpoint, The Hacker News. “Los sectores objetivo son cruciales tanto para la estabilidad económica como para la seguridad nacional, lo que los convierte en objetivos de inteligencia valiosos en el panorama geopolítico más amplio”.
“Esta campaña de phishing de bajo volumen y altamente dirigida aprovechó múltiples técnicas de ofuscación junto con un compromiso de terceros confiable para la aviación objetivo, las comunicaciones por satélite y la infraestructura crítica de transporte en los EAU en los EAU demuestran las longitudes a las que los actores alineados alineados van a evadir la detección y el cumplimiento de sus mandatos de recolección inteligencia de inteligencia con éxito”.
About the Author
