Un presunto grupo de actividades de amenazas iraníes se ha relacionado con ataques dirigidos a organizaciones de transporte, gobierno, energía y atención médica israelíes como parte de una campaña centrada en el espionaje que comenzó a fines de 2020.
La firma de ciberseguridad Mandiant está rastreando al grupo bajo su nombre no categorizado UNC3890que se cree que lleva a cabo operaciones que se alinean con los intereses iraníes.
«Los datos recopilados pueden aprovecharse para respaldar diversas actividades, desde piratería y fugas hasta permitir ataques de guerra cinética como los que han afectado a la industria del transporte marítimo en los últimos años», dijo el equipo de investigación de Israel de la compañía. señalado.
Las intrusiones montadas por el grupo conducen al despliegue de dos piezas de malware patentadas: una puerta trasera «pequeña pero eficiente» llamada SUGARUSH y un ladrón de credenciales del navegador llamado SUGARDUMP que filtra la información de la contraseña a una dirección de correo electrónico asociada con Gmail, ProtonMail, Yahoo y Yandex. .
También se emplea una red de servidores de comando y control (C2) que albergan páginas de inicio de sesión falsas que se hacen pasar por plataformas legítimas como Office 365, LinkedIn y Facebook que están diseñadas para comunicarse con los objetivos, así como un abrevadero que se cree que tiene destacó el sector del transporte marítimo.
El abrevadero, a partir de noviembre de 2021, estaba alojado en una página de inicio de sesión de una compañía naviera israelí legítima, señaló Mandiant, y agregó que el malware transmitió datos preliminares sobre el usuario que inició sesión a un dominio controlado por un atacante.
Si bien se desconoce la metodología exacta para el acceso inicial, se sospecha que involucra una combinación de pozos de agua, recolección de credenciales haciéndose pasar por servicios legítimos y ofertas de trabajo fraudulentas para un puesto de desarrollador de software en una empresa de análisis de datos LexisNexis.
«Uno de los esfuerzos más recientes de UNC3890 para apuntar a las víctimas incluye el uso de un comercial de video para muñecas robóticas basadas en IA, que se usa como señuelo para entregar SUGARDUMP», señalaron los investigadores.
SUGARUSH, el segundo malware a medida, funciona estableciendo una conexión con un servidor C2 incorporado para ejecutar comandos CMD arbitrarios emitidos por el atacante, otorgando al adversario control total sobre el entorno de la víctima al obtener el acceso inicial.
Otras herramientas utilizadas por UNC3890 incluyen el software de prueba de penetración Metasploit y Unicorn, una utilidad disponible públicamente para realizar un ataque de degradación de PowerShell e inyectar shellcode en la memoria.
Las conexiones del grupo con Irán se derivan del uso de artefactos del idioma farsi en la versión más reciente de SUGARDUMP, la orientación constante de entidades israelíes que encajan con otros grupos de actores de amenazas iraníes y el uso de NorthStar C2 Framework.