Los piratas inform\u00e1ticos vinculados al gobierno iran\u00ed han estado apuntando a personas especializadas en asuntos de Oriente Medio, seguridad nuclear e investigaci\u00f3n del genoma como parte de una nueva campa\u00f1a de ingenier\u00eda social dise\u00f1ada para buscar informaci\u00f3n confidencial.<\/p>\n
La firma de seguridad empresarial atribuy\u00f3 los ataques dirigidos a un actor de amenazas llamado TA453, que se superpone ampliamente con las actividades cibern\u00e9ticas monitoreadas bajo los nombres APT42, Charming Kitten y Phosphorus.<\/p>\n
Todo comienza con un correo electr\u00f3nico de phishing que se hace pasar por individuos leg\u00edtimos en organizaciones de investigaci\u00f3n de pol\u00edtica exterior occidentales que, en \u00faltima instancia, est\u00e1 dise\u00f1ado para recopilar inteligencia en nombre del Cuerpo de la Guardia Revolucionaria Isl\u00e1mica (IRGC) de Ir\u00e1n.<\/p>\n
Las personas falsificadas incluyen personas del Centro de Investigaci\u00f3n Pew, el Instituto de Investigaci\u00f3n de Pol\u00edtica Exterior (FRPI), Chatham House del Reino Unido y la revista cient\u00edfica Nature. Se dice que la t\u00e9cnica se implement\u00f3 a mediados de junio de 2022.<\/p>\n
Lo que es diferente de otros ataques de phishing es el uso de una t\u00e1ctica que Proofpoint llama suplantaci\u00f3n de identidad de m\u00faltiples personas (MPI), en la que el actor de la amenaza emplea no una, sino varias personas controladas por el actor en la misma conversaci\u00f3n de correo electr\u00f3nico para aumentar las posibilidades de \u00e9xito.<\/p>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\nLa idea es “aprovechar el principio de psicolog\u00eda de prueba social<\/a>y aumentar la autenticidad de la correspondencia del actor de la amenaza para que el objetivo compre el esquema, una t\u00e1ctica que demuestra la capacidad continua del adversario para intensificar su juego.<\/p>\n “Esta es una t\u00e9cnica intrigante porque requiere que se usen m\u00e1s recursos por objetivo, potencialmente quemar m\u00e1s personas, y un enfoque coordinado entre las diversas personalidades que usa TA453”, Sherrod DeGrippo, vicepresidente de investigaci\u00f3n y detecci\u00f3n de amenazas en Proofpoint, dijo<\/a> en una oracion.<\/p>\n Una vez que el correo electr\u00f3nico inicial obtiene una respuesta del objetivo, la persona env\u00eda un mensaje de seguimiento que contiene un enlace OneDrive malicioso que descarga un documento de Microsoft Office, uno de los cuales supuestamente alude a un enfrentamiento entre Rusia y EE. UU.<\/p>\n Este documento utiliza posteriormente una t\u00e9cnica llamada inyecci\u00f3n de plantilla remota<\/a> para descargar Korg, una plantilla que consta de tres macros que pueden recopilar nombres de usuario, una lista de procesos en ejecuci\u00f3n y las direcciones IP p\u00fablicas de las v\u00edctimas.<\/p>\n Adem\u00e1s de la exfiltraci\u00f3n de la informaci\u00f3n de balizamiento, no se han observado otras acciones posteriores a la explotaci\u00f3n. La falta “anormal” de ejecuci\u00f3n de c\u00f3digo y comportamiento de comando y control ha llevado a una evaluaci\u00f3n de que los usuarios comprometidos pueden estar sujetos a m\u00e1s ataques basados \u200b\u200ben el software instalado.<\/p>\n Esta no es la primera vez que el actor de amenazas realiza campa\u00f1as de suplantaci\u00f3n de identidad. En julio de 2021, Proofpoint revel\u00f3 una operaci\u00f3n de phishing denominada SpoofedScholars que se dirig\u00eda a personas centradas en asuntos de Oriente Medio en los EE. UU. y el Reino Unido bajo la apariencia de acad\u00e9micos de la Escuela de Estudios Orientales y Africanos (SOAS) de la Universidad de Londres.<\/p>\n Luego, en julio de 2022, la empresa de ciberseguridad descubri\u00f3 intentos por parte de TA453 de hacerse pasar por periodistas para atraer a acad\u00e9micos y expertos en pol\u00edticas para que hicieran clic en enlaces maliciosos que redirigen a los objetivos a dominios de recolecci\u00f3n de credenciales.<\/p>\n La divulgaci\u00f3n se produce en medio de una r\u00e1faga de actividad cibern\u00e9tica vinculada a Ir\u00e1n. La semana pasada, Microsoft puso fin a una serie de ataques de ransomware montados por un subgrupo de Phosphorus denominado DEV-0270 utilizando binarios de vivir fuera de la tierra como BitLocker.<\/p>\n Adem\u00e1s, la firma de ciberseguridad Mandiant, que ahora es oficialmente parte de Google Cloud<\/a>detall\u00f3 las actividades de un actor de espionaje iran\u00ed con nombre en c\u00f3digo APT42 que ha sido vinculado a m\u00e1s de 30 operaciones desde 2015.<\/p>\n Para colmo, el Departamento del Tesoro anunci\u00f3 sanciones contra el Ministerio de Inteligencia y Seguridad de Ir\u00e1n (MOIS) y su Ministro de Inteligencia, Esmaeil Khatib, en respuesta a “actividades cibern\u00e9ticas contra Estados Unidos y sus aliados”.<\/p>\n Albania, que rompi\u00f3 relaciones diplom\u00e1ticas con Ir\u00e1n despu\u00e9s de culparlo de una serie de ciberofensivas desde julio, dedos puntiagudos<\/a> a los “mismos agresores” durante el fin de semana por realizar otro ataque contra un sistema gubernamental utilizado para rastrear los cruces fronterizos.<\/p>\n “Los actores de amenazas alineados con el estado son algunos de los mejores en la elaboraci\u00f3n de campa\u00f1as de ingenier\u00eda social bien pensadas para llegar a sus v\u00edctimas previstas”, dijo DeGrippo.<\/p>\n “Los investigadores involucrados en seguridad internacional, particularmente aquellos que se especializan en estudios de Medio Oriente o seguridad nuclear, deben mantener un mayor sentido de conciencia cuando reciben correos electr\u00f3nicos no solicitados”.<\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1663064076_245_Los-piratas-informaticos-iranies-apuntan-a-objetivos-de-alto-valor.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n