Las redes del gobierno iraqu\u00ed se han convertido en el objetivo de una campa\u00f1a de ciberataques “elaborada” orquestada por un actor de amenazas patrocinado por el estado de Ir\u00e1n llamado Plataforma petrol\u00edfera<\/strong>.<\/p>\n Los ataques apuntaron a organizaciones iraqu\u00edes como la Oficina del Primer Ministro y el Ministerio de Asuntos Exteriores, dijo la empresa de ciberseguridad Check Point en un nuevo an\u00e1lisis.<\/p>\n OilRig, tambi\u00e9n llamado APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm (anteriormente EUROPIUM) y Helix Kitten, es un grupo cibern\u00e9tico iran\u00ed asociado con el Ministerio de Inteligencia y Seguridad de Ir\u00e1n (MOIS).<\/p>\n Activo desde al menos 2014, el grupo tiene antecedentes de realizar ataques de phishing en el Medio Oriente para entregar una variedad de puertas traseras personalizadas como Karkoff, Shark, Marlin, Saitama, MrPerfectionManager, PowerExchange, Solar, Mango y Menorah para el robo de informaci\u00f3n.<\/p>\n La \u00faltima campa\u00f1a no es una excepci\u00f3n, ya que implica el uso de un nuevo conjunto de familias de malware denominadas Veaty y Spearal, que vienen con capacidades para ejecutar comandos de PowerShell y recolectar archivos de inter\u00e9s.<\/p>\n “El conjunto de herramientas utilizado en esta campa\u00f1a dirigida emplea mecanismos \u00fanicos de comando y control (C2), incluido un protocolo de tunelizaci\u00f3n DNS personalizado y un canal C2 basado en correo electr\u00f3nico hecho a medida”, Check Point dicho<\/a>.<\/p>\n “El canal C2 utiliza cuentas de correo electr\u00f3nico comprometidas dentro de la organizaci\u00f3n atacada, lo que indica que el actor de la amenaza se infiltr\u00f3 con \u00e9xito en las redes de la v\u00edctima”.<\/p>\n Algunas de las acciones que el actor de la amenaza llev\u00f3 a cabo al ejecutar el ataque y despu\u00e9s de \u00e9l fueron consistentes con las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) que OilRig ha empleado al realizar operaciones similares en el pasado.<\/p>\n Esto incluye el uso de canales C2 basados \u200b\u200ben correo electr\u00f3nico, aprovechando espec\u00edficamente buzones de correo electr\u00f3nico previamente comprometidos para emitir comandos y extraer datos. Este modus operandi ha sido com\u00fan en varias puertas traseras como Karkoff, MrPerfectionManager y PowerExchange.<\/p>\n La cadena de ataque se inicia mediante archivos enga\u00f1osos que se hacen pasar por documentos inofensivos (“Avamer.pdf.exe” o “IraqiDoc.docx.rar”) que, al ejecutarse, allanan el camino para la implementaci\u00f3n de Veaty y Spearal. Es probable que la v\u00eda de infecci\u00f3n haya involucrado un elemento de ingenier\u00eda social.<\/p>\n Los archivos inician la ejecuci\u00f3n de scripts intermedios de PowerShell o Pyinstaller que, a su vez, descargan los ejecutables de malware y sus archivos de configuraci\u00f3n basados \u200b\u200ben XML, que incluyen informaci\u00f3n sobre el servidor C2.<\/p>\n “El malware Spearal es una puerta trasera .NET que utiliza la tunelizaci\u00f3n DNS para [C2] “La comunicaci\u00f3n entre el malware y el servidor C2 se codifica en los subdominios de las consultas DNS mediante un protocolo de cifrado personalizado”, dijo Check Point. Base32<\/a> esquema.”<\/p>\n Spearal est\u00e1 dise\u00f1ado para ejecutar comandos de PowerShell, leer contenidos de archivos y enviarlos en forma de datos codificados en Base32, y recuperar datos del servidor C2 y escribirlos en un archivo en el sistema.<\/p>\n Veaty, que tambi\u00e9n est\u00e1 escrito en .NET, aprovecha los correos electr\u00f3nicos para las comunicaciones C2 con el objetivo final de descargar archivos y ejecutar comandos a trav\u00e9s de buzones espec\u00edficos que pertenecen al dominio gov-iq.net. Los comandos le permiten cargar y descargar archivos y ejecutar scripts de PowerShell.<\/p>\n Check Point dijo que su an\u00e1lisis de la infraestructura del actor de amenazas condujo al descubrimiento de un archivo de configuraci\u00f3n XML diferente que probablemente est\u00e9 asociado con una tercera puerta trasera de tunelizaci\u00f3n SSH.<\/p>\n Adem\u00e1s, identific\u00f3 una puerta trasera basada en HTTP, CacheHttp.dll, que apunta a los servidores de Internet Information Services (IIS) de Microsoft y examina las solicitudes web entrantes en busca de eventos “OnGlobalPreBeginRequest” y ejecuta comandos cuando ocurren.<\/p>\n “El proceso de ejecuci\u00f3n comienza comprobando si el encabezado Cookie est\u00e1 presente en las solicitudes HTTP entrantes y lee hasta el signo;”, indic\u00f3 Check Point. “El par\u00e1metro principal es F=0\/1, que indica si el backdoor inicializa su configuraci\u00f3n de comandos (F=1) o ejecuta los comandos en funci\u00f3n de esta configuraci\u00f3n (F=0)”.<\/p>\n El m\u00f3dulo IIS malicioso, que representa una evoluci\u00f3n de un malware clasificado como Grupo 2 por ESET en agosto de 2021 y otro backdoor IIS APT34 con nombre en c\u00f3digo Puerta RG<\/a>admite la ejecuci\u00f3n de comandos y operaciones de lectura\/escritura de archivos.<\/p>\n “Esta campa\u00f1a contra la infraestructura del gobierno iraqu\u00ed resalta los esfuerzos sostenidos y concentrados de los actores de amenazas iran\u00edes que operan en la regi\u00f3n”, afirm\u00f3 la compa\u00f1\u00eda.<\/p>\n “El despliegue de un protocolo de tunelizaci\u00f3n DNS personalizado y un canal C2 basado en correo electr\u00f3nico que aprovecha las cuentas comprometidas resalta el esfuerzo deliberado de los actores iran\u00edes para desarrollar y mantener mecanismos especializados de comando y control”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/El-grupo-cibernetico-irani-OilRig-ataca-al-gobierno-iraqui-con.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n