Se ha observado que actores de amenazas patrocinados por el estado iran\u00ed orquestan campa\u00f1as de phishing dirigidas a una figura jud\u00eda prominente a partir de fines de julio de 2024 con el objetivo de entregar una nueva herramienta de recopilaci\u00f3n de inteligencia llamada AnvilEcho.<\/p>\n
La empresa de seguridad empresarial Proofpoint est\u00e1 rastreando la actividad bajo el nombre TA453, que se superpone con la actividad rastreada por la comunidad de ciberseguridad m\u00e1s amplia bajo los nombres APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) y Yellow Garuda (PwC).<\/p>\n
“La interacci\u00f3n inicial intent\u00f3 atraer al objetivo para que interactuara con un correo electr\u00f3nico benigno para generar una conversaci\u00f3n y generar confianza para luego hacer clic en un enlace malicioso de seguimiento”, dijeron los investigadores de seguridad Joshua Miller, Georgi Mladenov, Andrew Northern y Greg Lesnewich. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n “La cadena de ataque intent\u00f3 distribuir un nuevo kit de herramientas de malware llamado BlackSmith, que distribuy\u00f3 un troyano PowerShell denominado AnvilEcho”.<\/p>\n Se considera que TA453 est\u00e1 afiliado al Cuerpo de la Guardia Revolucionaria Isl\u00e1mica de Ir\u00e1n (CGRI) y lleva a cabo campa\u00f1as de phishing dirigidas a apoyar las prioridades pol\u00edticas y militares del pa\u00eds.<\/p>\n Los datos compartidos por Mandiant, propiedad de Google, la semana pasada muestran que Estados Unidos e Israel representaron aproximadamente el 60% de los objetivos geogr\u00e1ficos conocidos de APT42, seguidos por Ir\u00e1n y el Reino Unido.<\/p>\n Los esfuerzos de ingenier\u00eda social son a la vez persistentes y persuasivos, haci\u00e9ndose pasar por entidades leg\u00edtimas y periodistas para iniciar conversaciones con posibles v\u00edctimas y construir una relaci\u00f3n con el tiempo, antes de atraparlas en sus trampas de phishing a trav\u00e9s de documentos cargados de malware o p\u00e1ginas falsas de recolecci\u00f3n de credenciales.<\/p>\n “APT42 atraer\u00eda a su objetivo con un se\u00f1uelo de ingenier\u00eda social para organizar una reuni\u00f3n de video y luego vincularlo a una p\u00e1gina de destino donde se le solicitar\u00eda al objetivo que iniciara sesi\u00f3n y fuera enviado a una p\u00e1gina de phishing”, dijo Google.<\/p>\n “Otra plantilla de campa\u00f1a de APT42 es enviar archivos PDF adjuntos leg\u00edtimos como parte de un se\u00f1uelo de ingenier\u00eda social para generar confianza y alentar al objetivo a interactuar en otras plataformas como Signal, Telegram o WhatsApp”.<\/p>\n El \u00faltimo conjunto de ataques, observado por Proofpoint a partir del 22 de julio de 2024, involucr\u00f3 al actor de amenazas contactando m\u00faltiples direcciones de correo electr\u00f3nico de una figura jud\u00eda an\u00f3nima, invit\u00e1ndolos a ser invitados a un podcast mientras se hac\u00eda pasar por el Director de Investigaci\u00f3n del Instituto para el Estudio de la Guerra (ISW).<\/p>\n En respuesta a un mensaje del objetivo, se dice que TA453 envi\u00f3 una URL de DocSend protegida con contrase\u00f1a que, a su vez, condujo a un archivo de texto que conten\u00eda una URL al podcast leg\u00edtimo alojado en ISW. Los mensajes falsos se enviaron desde el dominio understandingthewar[.]org, un claro intento de imitar Sitio web de ISW<\/a> (“comprendiendo la guerra[.]org”).<\/p>\n “Es probable que TA453 estuviera intentando normalizar que el objetivo hiciera clic en un enlace e ingresara una contrase\u00f1a para que el objetivo hiciera lo mismo cuando le enviaran malware”, dijo Proofpoint.<\/p>\n En mensajes de seguimiento, se encontr\u00f3 que el actor de amenazas respond\u00eda con una URL de Google Drive que alojaba un archivo ZIP (“Podcast Plan-2024.zip”) que, a su vez, conten\u00eda un archivo de acceso directo de Windows (LNK) responsable de entregar el conjunto de herramientas BlackSmith.<\/p>\n AnvilEcho, que se entrega a trav\u00e9s de BlackSmith, ha sido descrito como un posible sucesor de los implantes de PowerShell conocidos como CharmPower, GorjolEcho, POWERSTAR y PowerLess. BlackSmith tambi\u00e9n est\u00e1 dise\u00f1ado para mostrar un documento de se\u00f1uelo como mecanismo de distracci\u00f3n.<\/p>\n Vale la pena se\u00f1alar que el nombre “BlackSmith” tambi\u00e9n se superpone con un componente ladr\u00f3n de navegador detallado por Volexity a principios de este a\u00f1o en relaci\u00f3n con una campa\u00f1a que distribuy\u00f3 BASICSTAR en ataques dirigidos a individuos de alto perfil que trabajaban en asuntos de Medio Oriente.<\/p>\n “AnvilEcho es un troyano PowerShell que contiene una amplia funcionalidad”, afirm\u00f3 Proofpoint. “Las capacidades de AnvilEcho indican un claro enfoque en la recopilaci\u00f3n y exfiltraci\u00f3n de informaci\u00f3n”.<\/p>\n Algunas de sus funciones importantes incluyen realizar reconocimiento del sistema, tomar capturas de pantalla, descargar archivos remotos y cargar datos confidenciales a trav\u00e9s de FTP y Dropbox.<\/p>\n “Campa\u00f1as de phishing TA453 […] “Han reflejado consistentemente las prioridades de inteligencia del CGRI”, dijo el investigador de Proofpoint Joshua Miller en una declaraci\u00f3n compartida con The Hacker News.<\/p>\n “Es probable que este malware que intenta atacar a una figura jud\u00eda prominente apoye los actuales esfuerzos cibern\u00e9ticos iran\u00edes contra los intereses israel\u00edes. TA453 es una amenaza persistente y persistente contra pol\u00edticos, defensores de los derechos humanos, disidentes y acad\u00e9micos”.<\/p>\n Los hallazgos se producen d\u00edas despu\u00e9s de que HarfangLab revelara una nueva cepa de malware basada en Go denominada Cyclops que posiblemente se haya desarrollado como continuaci\u00f3n de otra puerta trasera Charming Kitten con nombre en c\u00f3digo BellaCiao, lo que indica que el adversario est\u00e1 reestructurando activamente su arsenal en respuesta a las revelaciones p\u00fablicas. Las primeras muestras del malware datan de diciembre de 2023.<\/p>\n “Su objetivo es crear un t\u00fanel inverso entre una API REST y su servidor de comando y control (C2) con el fin de controlar m\u00e1quinas espec\u00edficas”, dijo la empresa francesa de ciberseguridad. dicho<\/a>“Permite a los operadores ejecutar comandos arbitrarios, manipular el sistema de archivos del objetivo y utilizar la m\u00e1quina infectada para ingresar a la red”.<\/p>\n Se cree que los autores de las amenazas utilizaron Cyclops para atacar a una organizaci\u00f3n sin fines de lucro que apoya la innovaci\u00f3n y el esp\u00edritu emprendedor en el L\u00edbano, as\u00ed como a una empresa de telecomunicaciones en Afganist\u00e1n. Actualmente se desconoce la ruta de entrada exacta utilizada para los ataques.<\/p>\n “La elecci\u00f3n de Go para el malware Cyclops tiene varias implicaciones”, afirma HarfangLab. “En primer lugar, confirma la popularidad de este lenguaje entre los desarrolladores de malware. En segundo lugar, el n\u00famero inicialmente bajo de detecciones para esta muestra indica que los programas Go a\u00fan pueden representar un desaf\u00edo para las soluciones de seguridad”.<\/p>\n “Y, por \u00faltimo, es posible que las variantes de Cyclops para macOS y Linux tambi\u00e9n se hayan creado a partir del mismo c\u00f3digo base y que a\u00fan no las hayamos encontrado”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/El-grupo-cibernetico-irani-TA453-ataca-a-un-lider-judio.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/section>\n