Investigadores de ciberseguridad han descubierto una nueva infraestructura de red creada por actores de amenazas iraníes para respaldar actividades vinculadas a los recientes ataques a campañas políticas estadounidenses.
El Grupo Insikt de Recorded Future ha vinculado la infraestructura a una amenaza que rastrea como GreenCharlie, un grupo de ciberamenazas con nexo con Irán que se superpone con APT42, Charming Kitten, Damselfly, Mint Sandstorm (anteriormente Phosphorus), TA453 y Yellow Garuda.
“La infraestructura del grupo está diseñada meticulosamente, utilizando proveedores de DNS dinámico (DDNS) como Dynu, DNSEXIT y Vitalwerks para registrar dominios utilizados en ataques de phishing”, dijo la empresa de ciberseguridad. dicho.
“Estos dominios a menudo emplean temas engañosos relacionados con servicios en la nube, intercambio de archivos y visualización de documentos para atraer a los objetivos a que revelen información confidencial o descarguen archivos maliciosos”.
Entre los ejemplos se incluyen términos como “cloud”, “uptimezone”, “doceditor”, “joincloud” y “pageviewer”, entre otros. La mayoría de los dominios se registraron utilizando el dominio de nivel superior (TLD) .info, un cambio con respecto a los TLD .xyz, .icu, .network, .online y .site observados anteriormente.
El adversario tiene antecedentes de organizar ataques de phishing altamente específicos que aprovechan amplias técnicas de ingeniería social para infectar a los usuarios con malware como POWERSTAR (también conocido como CharmPower y GorjolEcho) y GORBLE, que recientemente fue identificado por Mandiant, propiedad de Google, como utilizado en campañas contra Israel y Estados Unidos.
Se considera que GORBLE, TAMECAT y POWERSTAR son variantes del mismo malware, una serie de implantes de PowerShell en constante evolución implementados por GreenCharlie a lo largo de los años. Vale la pena señalar que Proofpoint detalló otro sucesor de POWERSTAR llamado BlackSmith que se utilizó en una campaña de phishing dirigida a una figura judía prominente a fines de julio de 2024.
El proceso de infección suele ser de varias etapas: primero se obtiene acceso a través de phishing, luego se establece comunicación con servidores de comando y control (C2) y, finalmente, se extraen datos o se envían cargas adicionales.
Los hallazgos de Recorded Future muestran que el actor de amenazas registró una gran cantidad de dominios DDNS desde mayo de 2024, y la compañía también identificó comunicaciones entre direcciones IP con sede en Irán (38.180.146[.]194 y 38.180.146[.]174) y la infraestructura de GreenCharlie entre julio y agosto de 2024.
Además, se ha descubierto un vínculo directo entre los clústeres de GreenCharlie y los servidores C2 utilizados por GORBLE. Se cree que las operaciones se facilitan mediante Proton VPN o Proton Mail para ocultar su actividad.
“Las operaciones de phishing de GreenCharlie son muy específicas y a menudo emplean técnicas de ingeniería social que explotan los acontecimientos actuales y las tensiones políticas”, afirmó Recorded Future.
“El grupo ha registrado numerosos dominios desde mayo de 2024, muchos de los cuales probablemente se utilicen para actividades de phishing. Estos dominios están vinculados a proveedores de DDNS, que permiten cambios rápidos en las direcciones IP, lo que dificulta el seguimiento de las actividades del grupo”.
La revelación se produce en medio de un aumento de la actividad cibernética maliciosa iraní contra Estados Unidos y otros objetivos extranjeros. A principios de esta semana, Microsoft reveló que varios sectores en Estados Unidos y los Emiratos Árabes Unidos son el objetivo de un actor de amenazas iraní con el nombre en código Peach Sandstorm (también conocido como Refined Kitten).
Además, las agencias del gobierno de EE. UU. dijeron que otro equipo de piratas informáticos respaldado por el estado iraní, Pioneer Kitten, ha trabajado como corredor de acceso inicial (IAB) para facilitar ataques de ransomware contra los sectores de educación, finanzas, atención médica, defensa y gobierno en EE. UU. en colaboración con los equipos de NoEscape, RansomHouse y BlackCat.
About the Author
