Las organizaciones del sector de la Base Industrial de Defensa (DIB) están en el punto de mira de un actor de amenazas iraní como parte de una campaña diseñada para ofrecer una puerta trasera nunca antes vista llamada FalseFont.
Los hallazgos provienen de Microsoft, que está rastreando la actividad bajo su nombre de temática meteorológica. Tormenta de arena de melocotón (anteriormente Holmium), que también se conoce como APT33, Elfin y Refined Kitten.
«FalseFont es una puerta trasera personalizada con una amplia gama de funcionalidades que permite a los operadores acceder de forma remota a un sistema infectado, iniciar archivos adicionales y enviar información a sus [command-and-control] servidores», el equipo de Microsoft Threat Intelligence dicho en X (anteriormente Twitter).
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
El primer uso registrado del implante fue a principios de noviembre de 2023.
El gigante tecnológico dijo además que el último desarrollo se alinea con la actividad anterior de Peach Sandstorm y demuestra una evolución continua del oficio del actor de amenazas.
En un informe publicado en septiembre de 2023, Microsoft vinculó al grupo con ataques de pulverización de contraseñas llevados a cabo contra miles de organizaciones en todo el mundo entre febrero y julio de 2023. Las intrusiones se centraron principalmente en los sectores de satélite, defensa y farmacéutico.
El objetivo final, dijo la compañía, es facilitar la recopilación de inteligencia en apoyo de los intereses del Estado iraní. Se cree que Peach Sandstorm ha estado activo desde al menos 2013.
La divulgación se produce cuando la Dirección Nacional Cibernética de Israel (INCD) acusó a Irán y Hezbollah de intentar atacar sin éxito el Hospital Ziv a través de equipos de piratería llamados Agrius y Lebanese Cedar.
La agencia también reveló detalles de una campaña de phishing en la que se emplea un aviso falso sobre una falla de seguridad en los productos F5 BIG-IP como señuelo para distribuir malware de limpieza en sistemas Windows y Linux.
El atractivo del ataque dirigido es una vulnerabilidad crítica de omisión de autenticación (CVE-2023-46747, puntuación CVSS: 9,8) que salió a la luz a finales de octubre de 2023. Actualmente se desconoce la escala de la campaña.