Las entidades gubernamentales de Oriente Medio son el objetivo de nuevas campañas de phishing diseñadas para ofrecer un nuevo descargador de acceso inicial denominado hierroviento.
La actividad, detectada entre julio y octubre de 2023, ha sido atribuido por Proofpoint a un actor de amenazas al que rastrea bajo el nombre TA402que también se conoce como Molerats, Gaza Cyber Gang, y comparte superposiciones tácticas con un equipo de hackers pro-Hamas conocido como APT-C-23 (también conocido como Arid Viper).
«Cuando se trata de actores de amenazas alineados con el Estado, Corea del Norte, Rusia, China e Irán generalmente obtienen la mayor parte de la atención», dijo Joshua Miller, investigador principal de amenazas en Proofpoint, en un comunicado compartido con The Hacker News.
«Pero TA402, un grupo de amenaza persistente avanzada (APT) de Medio Oriente que históricamente ha operado en interés de los Territorios Palestinos, ha demostrado consistentemente ser un actor de amenazas intrigante capaz de realizar un ciberespionaje altamente sofisticado con un enfoque en la recopilación de inteligencia».
Coincidiendo con el uso de IronWind, hay actualizaciones constantes de sus mecanismos de entrega de malware, utilizando enlaces de Dropbox, archivos adjuntos XLL y archivos RAR para distribuir IronWind.
El uso de IronWind supone un cambio con respecto a cadenas de ataques anteriores, que estaban vinculadas a la propagación de una puerta trasera con nombre en código NimbleMamba en intrusiones dirigidas a gobiernos de Oriente Medio y centros de estudios sobre política exterior.
Las últimas campañas de TA402 se caracterizan por el uso de una cuenta de correo electrónico comprometida perteneciente al Ministerio de Asuntos Exteriores para enviar señuelos de phishing que apuntan a enlaces de Dropbox que facilitan el despliegue de IronWind.
El programa de descarga está diseñado para ponerse en contacto con un servidor controlado por un atacante para obtener cargas útiles adicionales, incluido un conjunto de herramientas posteriores a la explotación llamado SharpSploitsiguiendo una secuencia de varias etapas.
Se descubrió que campañas de ingeniería social posteriores en agosto y octubre de 2023 aprovechaban archivos XLL y archivos adjuntos RAR incrustados en mensajes de correo electrónico para desencadenar la implementación de IronWind. Otra táctica notable empleada por el grupo es la dependencia de técnicas de geocercado para complicar los esfuerzos de detección.
«El conflicto en curso en Medio Oriente no parece haber obstaculizado sus operaciones en curso, ya que continúan iterando y utilizando métodos de entrega nuevos e inteligentes para eludir los esfuerzos de detección», dijo Miller.
«Utilizando cadenas de infección complejas y generando nuevo malware para atacar sus objetivos, TA402 continúa participando en actividades extremadamente específicas con un fuerte enfoque en entidades gubernamentales con sede en Medio Oriente y África del Norte».
El desarrollo se produce cuando Cisco Talos reveló que se ha observado que los ciberdelincuentes explotan la función «Puntuaciones de publicación» de los cuestionarios de Google Forms para enviar correos electrónicos y orquestar elaboradas estafas de criptomonedas, destacando las formas creativas a las que recurren los actores de amenazas para cumplir sus objetivos.
«Los correos electrónicos se originan en los propios servidores de Google y, por lo tanto, les resulta más fácil eludir las protecciones antispam y encontrar la bandeja de entrada de la víctima», afirma el investigador de seguridad Jaeson Schultz. dicho la semana pasada.