{"id":1026063,"date":"2023-11-01T19:07:02","date_gmt":"2023-11-01T19:07:02","guid":{"rendered":"https:\/\/teknomers.com\/es\/grupo-irani-de-ciberespionaje-apunta-a-sectores-financieros-y-gubernamentales-en-medio-oriente\/"},"modified":"2023-11-01T19:07:06","modified_gmt":"2023-11-01T19:07:06","slug":"grupo-irani-de-ciberespionaje-apunta-a-sectores-financieros-y-gubernamentales-en-medio-oriente","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/grupo-irani-de-ciberespionaje-apunta-a-sectores-financieros-y-gubernamentales-en-medio-oriente\/","title":{"rendered":"Grupo iran\u00ed de ciberespionaje apunta a sectores financieros y gubernamentales en Medio Oriente"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Grupo-irani-de-ciberespionaje-apunta-a-sectores-financieros-y-gubernamentales.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Se ha observado a un actor de amenazas afiliado al Ministerio de Inteligencia y Seguridad de Ir\u00e1n (MOIS) librando una sofisticada campa\u00f1a de ciberespionaje dirigida a los sectores financiero, gubernamental, militar y de telecomunicaciones en el Medio Oriente durante al menos un a\u00f1o.<\/p>\n<p>La empresa israel\u00ed de ciberseguridad Check Point, que descubri\u00f3 la campa\u00f1a junto con Sygnia, est\u00e1 rastreando al actor con el nombre <strong>Mant\u00edcora marcada<\/strong>que se dice que se superpone estrechamente con un grupo emergente denominado Storm-0861, uno de los cuatro grupos iran\u00edes vinculados a ataques destructivos contra el gobierno alban\u00e9s el a\u00f1o pasado.<\/p>\n<p>Las v\u00edctimas de la operaci\u00f3n se encuentran en varios pa\u00edses como Arabia Saudita, Emiratos \u00c1rabes Unidos, Jordania, Kuwait, Om\u00e1n, Irak e Israel.<\/p>\n<p>Scarred Manticore tambi\u00e9n muestra cierto grado de superposici\u00f3n con OilRig, otro grupo de estado-naci\u00f3n iran\u00ed que recientemente fue atribuido a un ataque a un gobierno an\u00f3nimo de Medio Oriente entre febrero y septiembre de 2023 como parte de una campa\u00f1a de ocho meses.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/wiz-inside-desk\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Turla-actualiza-la-puerta-trasera-Kazuar-con-antianalisis-avanzado-para.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Se ha descubierto otro conjunto de superposiciones t\u00e1cticas entre el adversario y un conjunto de intrusi\u00f3n cuyo nombre en c\u00f3digo es ShroudedSnooper de Cisco Talos.  Las cadenas de ataques orquestadas por el actor de amenazas han se\u00f1alado a los proveedores de telecomunicaciones en el Medio Oriente utilizando una puerta trasera sigilosa conocida como HTTPSnoop.<\/p>\n<p>La actividad representada por Scarred Manticore se caracteriza por el uso de un marco de malware pasivo previamente desconocido denominado LIONTAIL que se instala en servidores Windows.  Se cree que el actor de amenazas est\u00e1 activo desde al menos 2019.<\/p>\n<p>&#8220;Scarred Manticore ha estado persiguiendo objetivos de alto valor durante a\u00f1os, utilizando una variedad de puertas traseras basadas en IIS para atacar servidores Windows&#8221;, investigadores de Check Point. <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2023\/from-albania-to-the-middle-east-the-scarred-manticore-is-listening\/\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis del martes.  &#8220;Estos incluyen una variedad de shells web personalizados, puertas traseras DLL personalizadas e implantes basados \u200b\u200ben controladores&#8221;.<\/p>\n<p>LIONTAIL, un malware avanzado, es una colecci\u00f3n de cargadores de shellcode personalizados y cargas \u00fatiles de shellcode residentes en memoria.  Un componente digno de menci\u00f3n del marco es un implante liviano pero sofisticado escrito en C que permite a los atacantes ejecutar comandos de forma remota a trav\u00e9s de solicitudes HTTP.<\/p>\n<p>Las secuencias de ataque implican infiltrarse en servidores Windows de acceso p\u00fablico para iniciar el proceso de entrega de malware y recopilar sistem\u00e1ticamente datos confidenciales de los hosts infectados.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/1698865622_319_Grupo-irani-de-ciberespionaje-apunta-a-sectores-financieros-y-gubernamentales.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/1698865622_319_Grupo-irani-de-ciberespionaje-apunta-a-sectores-financieros-y-gubernamentales.jpg\" alt=\"Grupo de ciberespionaje\" border=\"0\" data-original-height=\"305\" data-original-width=\"728\" title=\"Grupo de ciberespionaje\"\/><\/a><\/div>\n<p>&#8220;En lugar de utilizar la API HTTP, el malware utiliza IOCTL para interactuar directamente con el controlador HTTP.sys subyacente&#8221;, dijeron los investigadores, detallando el mecanismo de comando y control (C2).<\/p>\n<p>&#8220;Este enfoque es m\u00e1s sigiloso ya que no involucra IIS o HTTP API, que generalmente son monitoreados de cerca por soluciones de seguridad, pero no es una tarea sencilla dado que los IOCTL para HTTP.sys no est\u00e1n documentados y requieren esfuerzos de investigaci\u00f3n adicionales por parte de los actores de amenazas. &#8220;.<\/p>\n<p>Tambi\u00e9n se implementan junto con LIONTAIL varios shells web y una herramienta de reenv\u00edo web llamada LIONHEAD, un reenviador web.<\/p>\n<p>La actividad hist\u00f3rica de Scarred Manticore indica una evoluci\u00f3n continua del arsenal de malware del grupo, ya que el actor de amenazas anteriormente depend\u00eda de shells web como <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/SECFORCE\/Tunna\/tree\/master\" target=\"_blank\">at\u00fan<\/a> y una versi\u00f3n personalizada llamada FOXSHELL para acceso por puerta trasera.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-F5-advierte-sobre-ataques-activos-que-aprovechan-la-vulnerabilidad.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Desde mediados de 2020, tambi\u00e9n se dice que el actor de amenazas ha utilizado una puerta trasera pasiva basada en .NET llamada <a rel=\"nofollow noopener\" href=\"https:\/\/darksys0x.net\/Sdd-backdoor\/\" target=\"_blank\">SDD<\/a> que establece comunicaci\u00f3n C2 a trav\u00e9s de un escucha HTTP en la m\u00e1quina infectada con el objetivo final de ejecutar comandos arbitrarios, cargar y descargar archivos y ejecutar ensamblados .NET adicionales.<\/p>\n<p>Las actualizaciones progresivas de las t\u00e1cticas y herramientas del actor de amenazas son t\u00edpicas de los grupos de amenazas persistentes avanzadas (APT) y demuestran sus recursos y habilidades variadas.  Esto se ejemplifica mejor con el uso por parte de Scarred Manticore de un controlador de kernel malicioso llamado WINTAPIX que fue descubierto por Fortinet a principios de mayo.<\/p>\n<p>En pocas palabras, WinTapix.sys act\u00faa como un cargador para ejecutar la siguiente etapa del ataque, inyectando un c\u00f3digo shell incrustado en un proceso de modo de usuario adecuado que, a su vez, ejecuta una carga \u00fatil .NET cifrada dise\u00f1ada espec\u00edficamente para apuntar a Microsoft Internet Information Services ( IIS) servidores.<\/p>\n<p>El ataque a Israel se produce en medio de la <a rel=\"nofollow noopener\" href=\"https:\/\/securityscorecard.com\/research\/hacktivist-involvement-in-israel-hamas-war-reflects-possible-shift-in-threat-actor-focus\/\" target=\"_blank\">La actual guerra entre Israel y Ham\u00e1s<\/a>lo que llev\u00f3 a grupos hacktivistas poco sofisticados a atacar a varias organizaciones en el pa\u00eds, as\u00ed como a naciones como India y Kenia, lo que sugiere que los actores-estado-naci\u00f3n dependen de operaciones de informaci\u00f3n destinadas a influir en la percepci\u00f3n global del conflicto.<\/p>\n<p>&#8220;Los componentes del marco LIONTAIL comparten ofuscaci\u00f3n y artefactos de cadena similares con los controladores FOXSHELL, SDD backdoor y WINTAPIX&#8221;, afirm\u00f3 Check Point.<\/p>\n<p>&#8220;Al examinar la historia de sus actividades, resulta evidente hasta qu\u00e9 punto ha llegado el actor de amenazas en la mejora de sus ataques y su enfoque, que se basa en implantes pasivos&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/11\/iranian-cyber-espionage-group-targets.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha observado a un actor de amenazas afiliado al Ministerio de Inteligencia y Seguridad de Ir\u00e1n (MOIS)<\/p>\n","protected":false},"author":1,"featured_media":1026064,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2490,4661,71863,4664,4662,154,2386,20465,7691,4668,201033,2508,4654,201031,4659,4653,4655,7999,37406,4666,4665,201032,4660],"class_list":["post-1026063","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apunta","tag-ataques-ciberneticos","tag-ciberespionaje","tag-como-hackear","tag-filtracion-de-datos","tag-financieros","tag-grupo","tag-gubernamentales","tag-irani","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-medio","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-oriente","tag-sectores","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1026063","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1026063"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1026063\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1026064"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1026063"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1026063"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1026063"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}