Investigadores de ciberseguridad han descubierto una nueva infraestructura de red creada por actores de amenazas iran\u00edes para respaldar actividades vinculadas a los recientes ataques a campa\u00f1as pol\u00edticas estadounidenses.<\/p>\n
El Grupo Insikt de Recorded Future ha vinculado la infraestructura a una amenaza que rastrea como GreenCharlie, un grupo de ciberamenazas con nexo con Ir\u00e1n que se superpone con APT42, Charming Kitten, Damselfly, Mint Sandstorm (anteriormente Phosphorus), TA453 y Yellow Garuda.<\/p>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Piratas-informaticos-iranies-crean-nueva-red-para-atacar-campanas-politicas.jpg\")
<\/a><\/center><\/div>\n“La infraestructura del grupo est\u00e1 dise\u00f1ada meticulosamente, utilizando proveedores de DNS din\u00e1mico (DDNS) como Dynu, DNSEXIT y Vitalwerks para registrar dominios utilizados en ataques de phishing”, dijo la empresa de ciberseguridad. dicho<\/a>.<\/p>\n “Estos dominios a menudo emplean temas enga\u00f1osos relacionados con servicios en la nube, intercambio de archivos y visualizaci\u00f3n de documentos para atraer a los objetivos a que revelen informaci\u00f3n confidencial o descarguen archivos maliciosos”.<\/p>\n Entre los ejemplos se incluyen t\u00e9rminos como “cloud”, “uptimezone”, “doceditor”, “joincloud” y “pageviewer”, entre otros. La mayor\u00eda de los dominios se registraron utilizando el dominio de nivel superior (TLD) .info, un cambio con respecto a los TLD .xyz, .icu, .network, .online y .site observados anteriormente.<\/p>\n El adversario tiene antecedentes de organizar ataques de phishing altamente espec\u00edficos que aprovechan amplias t\u00e9cnicas de ingenier\u00eda social para infectar a los usuarios con malware como POWERSTAR (tambi\u00e9n conocido como CharmPower y GorjolEcho) y GORBLE, que recientemente fue identificado por Mandiant, propiedad de Google, como utilizado en campa\u00f1as contra Israel y Estados Unidos.<\/p>\n Se considera que GORBLE, TAMECAT y POWERSTAR son variantes del mismo malware, una serie de implantes de PowerShell en constante evoluci\u00f3n implementados por GreenCharlie a lo largo de los a\u00f1os. Vale la pena se\u00f1alar que Proofpoint detall\u00f3 otro sucesor de POWERSTAR llamado BlackSmith que se utiliz\u00f3 en una campa\u00f1a de phishing dirigida a una figura jud\u00eda prominente a fines de julio de 2024.<\/p>\n El proceso de infecci\u00f3n suele ser de varias etapas: primero se obtiene acceso a trav\u00e9s de phishing, luego se establece comunicaci\u00f3n con servidores de comando y control (C2) y, finalmente, se extraen datos o se env\u00edan cargas adicionales.<\/p>\n Los hallazgos de Recorded Future muestran que el actor de amenazas registr\u00f3 una gran cantidad de dominios DDNS desde mayo de 2024, y la compa\u00f1\u00eda tambi\u00e9n identific\u00f3 comunicaciones entre direcciones IP con sede en Ir\u00e1n (38.180.146[.]194 y 38.180.146[.]174) y la infraestructura de GreenCharlie entre julio y agosto de 2024.<\/p>\n Adem\u00e1s, se ha descubierto un v\u00ednculo directo entre los cl\u00fasteres de GreenCharlie y los servidores C2 utilizados por GORBLE. Se cree que las operaciones se facilitan mediante Proton VPN o Proton Mail para ocultar su actividad.<\/p>\n “Las operaciones de phishing de GreenCharlie son muy espec\u00edficas y a menudo emplean t\u00e9cnicas de ingenier\u00eda social que explotan los acontecimientos actuales y las tensiones pol\u00edticas”, afirm\u00f3 Recorded Future.<\/p>\n “El grupo ha registrado numerosos dominios desde mayo de 2024, muchos de los cuales probablemente se utilicen para actividades de phishing. Estos dominios est\u00e1n vinculados a proveedores de DDNS, que permiten cambios r\u00e1pidos en las direcciones IP, lo que dificulta el seguimiento de las actividades del grupo”.<\/p>\n La revelaci\u00f3n se produce en medio de un aumento de la actividad cibern\u00e9tica maliciosa iran\u00ed contra Estados Unidos y otros objetivos extranjeros. A principios de esta semana, Microsoft revel\u00f3 que varios sectores en Estados Unidos y los Emiratos \u00c1rabes Unidos son el objetivo de un actor de amenazas iran\u00ed con el nombre en c\u00f3digo Peach Sandstorm (tambi\u00e9n conocido como Refined Kitten).<\/p>\n Adem\u00e1s, las agencias del gobierno de EE. UU. dijeron que otro equipo de piratas inform\u00e1ticos respaldado por el estado iran\u00ed, Pioneer Kitten, ha trabajado como corredor de acceso inicial (IAB) para facilitar ataques de ransomware contra los sectores de educaci\u00f3n, finanzas, atenci\u00f3n m\u00e9dica, defensa y gobierno en EE. UU. en colaboraci\u00f3n con los equipos de NoEscape, RansomHouse y BlackCat.<\/p>\n <\/p>\n<\/a><\/center><\/section>\n