{"id":1045426,"date":"2023-11-14T11:12:05","date_gmt":"2023-11-14T11:12:05","guid":{"rendered":"https:\/\/teknomers.com\/es\/nueva-campana-se-dirige-a-los-gobiernos-de-medio-oriente-con-el-malware-ironwind\/"},"modified":"2023-11-14T11:12:09","modified_gmt":"2023-11-14T11:12:09","slug":"nueva-campana-se-dirige-a-los-gobiernos-de-medio-oriente-con-el-malware-ironwind","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nueva-campana-se-dirige-a-los-gobiernos-de-medio-oriente-con-el-malware-ironwind\/","title":{"rendered":"Nueva campa\u00f1a se dirige a los gobiernos de Medio Oriente con el malware IronWind"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>14 de noviembre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Ciberespionaje\/Inteligencia sobre amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Las entidades gubernamentales de Oriente Medio son el objetivo de nuevas campa\u00f1as de phishing dise\u00f1adas para ofrecer un nuevo descargador de acceso inicial denominado hierroviento<\/b>.<\/p>\n

La actividad, detectada entre julio y octubre de 2023, ha sido atribuido<\/a> por Proofpoint a un actor de amenazas al que rastrea bajo el nombre TA402<\/strong>que tambi\u00e9n se conoce como Molerats, Gaza Cyber \u200b\u200bGang, y comparte superposiciones t\u00e1cticas<\/a> con un equipo de hackers pro-Hamas conocido como APT-C-23 (tambi\u00e9n conocido como Arid Viper).<\/p>\n

“Cuando se trata de actores de amenazas alineados con el Estado, Corea del Norte, Rusia, China e Ir\u00e1n generalmente obtienen la mayor parte de la atenci\u00f3n”, dijo Joshua Miller, investigador principal de amenazas en Proofpoint, en un comunicado compartido con The Hacker News.<\/p>\n

“Pero TA402, un grupo de amenaza persistente avanzada (APT) de Medio Oriente que hist\u00f3ricamente ha operado en inter\u00e9s de los Territorios Palestinos, ha demostrado consistentemente ser un actor de amenazas intrigante capaz de realizar un ciberespionaje altamente sofisticado con un enfoque en la recopilaci\u00f3n de inteligencia”.<\/p>\n

\"La<\/a><\/center><\/div>\n

Coincidiendo con el uso de IronWind, hay actualizaciones constantes de sus mecanismos de entrega de malware, utilizando enlaces de Dropbox, archivos adjuntos XLL y archivos RAR para distribuir IronWind.<\/p>\n

El uso de IronWind supone un cambio con respecto a cadenas de ataques anteriores, que estaban vinculadas a la propagaci\u00f3n de una puerta trasera con nombre en c\u00f3digo NimbleMamba en intrusiones dirigidas a gobiernos de Oriente Medio y centros de estudios sobre pol\u00edtica exterior.<\/p>\n

\"Malware<\/a><\/div>\n

Las \u00faltimas campa\u00f1as de TA402 se caracterizan por el uso de una cuenta de correo electr\u00f3nico comprometida perteneciente al Ministerio de Asuntos Exteriores para enviar se\u00f1uelos de phishing que apuntan a enlaces de Dropbox que facilitan el despliegue de IronWind.<\/p>\n

El programa de descarga est\u00e1 dise\u00f1ado para ponerse en contacto con un servidor controlado por un atacante para obtener cargas \u00fatiles adicionales, incluido un conjunto de herramientas posteriores a la explotaci\u00f3n llamado SharpSploit<\/a>siguiendo una secuencia de varias etapas.<\/p>\n

Se descubri\u00f3 que campa\u00f1as de ingenier\u00eda social posteriores en agosto y octubre de 2023 aprovechaban archivos XLL y archivos adjuntos RAR incrustados en mensajes de correo electr\u00f3nico para desencadenar la implementaci\u00f3n de IronWind. Otra t\u00e1ctica notable empleada por el grupo es la dependencia de t\u00e9cnicas de geocercado para complicar los esfuerzos de detecci\u00f3n.<\/p>\n

\"La<\/a><\/center><\/div>\n

“El conflicto en curso en Medio Oriente no parece haber obstaculizado sus operaciones en curso, ya que contin\u00faan iterando y utilizando m\u00e9todos de entrega nuevos e inteligentes para eludir los esfuerzos de detecci\u00f3n”, dijo Miller.<\/p>\n

“Utilizando cadenas de infecci\u00f3n complejas y generando nuevo malware para atacar sus objetivos, TA402 contin\u00faa participando en actividades extremadamente espec\u00edficas con un fuerte enfoque en entidades gubernamentales con sede en Medio Oriente y \u00c1frica del Norte”.<\/p>\n

\"cuestionarios<\/a><\/div>\n

El desarrollo se produce cuando Cisco Talos revel\u00f3 que se ha observado que los ciberdelincuentes explotan la funci\u00f3n “Puntuaciones de publicaci\u00f3n” de los cuestionarios de Google Forms para enviar correos electr\u00f3nicos y orquestar elaboradas estafas de criptomonedas, destacando las formas creativas a las que recurren los actores de amenazas para cumplir sus objetivos.<\/p>\n

“Los correos electr\u00f3nicos se originan en los propios servidores de Google y, por lo tanto, les resulta m\u00e1s f\u00e1cil eludir las protecciones antispam y encontrar la bandeja de entrada de la v\u00edctima”, afirma el investigador de seguridad Jaeson Schultz. dicho<\/a> la semana pasada.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n