El prol\u00edfico grupo de estado-naci\u00f3n iran\u00ed conocido como gatito encantador<\/strong> est\u00e1 apuntando activamente a m\u00faltiples v\u00edctimas en los EE. UU., Europa, Medio Oriente e India con un nuevo malware denominado BellaCiao<\/strong>que se suma a su lista en constante expansi\u00f3n de herramientas personalizadas.<\/p>\n Descubierto por Bitdefender Labs, BellaCiao es un “cuentagotas personalizado” que es capaz de entregar otras cargas \u00fatiles de malware en una m\u00e1quina v\u00edctima en funci\u00f3n de los comandos recibidos de un servidor controlado por un actor.<\/p>\n “Cada muestra recolectada estaba vinculada a una v\u00edctima espec\u00edfica e inclu\u00eda informaci\u00f3n codificada como el nombre de la empresa, subdominios especialmente dise\u00f1ados o la direcci\u00f3n IP p\u00fablica asociada”, dijo la firma rumana de ciberseguridad. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n Charming Kitten, tambi\u00e9n conocido como APT35, Cobalt Illusion, Educated Manticore, ITG18, Mint Sandstorm (n\u00e9e Phosphorus), TA453 y Yellow Garuda, es un grupo APT patrocinado por el estado iran\u00ed asociado con el Cuerpo de la Guardia Revolucionaria Isl\u00e1mica (IRGC<\/a>).<\/p>\n A lo largo de los a\u00f1os, el grupo ha utilizado varios medios para implementar puertas traseras en sistemas que pertenecen a una amplia gama de industrias verticales.<\/p>\n El desarrollo se produce cuando Microsoft atribuy\u00f3 al actor de amenazas los ataques de represalia dirigidos a entidades de infraestructura cr\u00edtica en los EE. UU. Entre finales de 2021 y mediados de 2022 utilizando malware a medida como harmPower, Drokbk y Soldier.<\/p>\n Luego, a principios de esta semana, Check Point revel\u00f3 el uso de Mint Sandstorm de una versi\u00f3n actualizada del implante PowerLess para atacar a organizaciones ubicadas en Israel utilizando se\u00f1uelos de phishing con tem\u00e1tica de Irak.<\/p>\n “El malware desarrollado a medida, tambi\u00e9n conocido como malware ‘a la medida’, generalmente es m\u00e1s dif\u00edcil de detectar porque est\u00e1 dise\u00f1ado espec\u00edficamente para evadir la detecci\u00f3n y contiene un c\u00f3digo \u00fanico”, se\u00f1al\u00f3 el investigador de Bitdefender Martin Zugec.<\/p>\n El modus operandi exacto utilizado para lograr la intrusi\u00f3n inicial a\u00fan no se ha determinado, aunque se sospecha que implica la explotaci\u00f3n de vulnerabilidades conocidas en aplicaciones expuestas a Internet como Microsoft Exchange Server o Zoho ManageEngine.<\/p>\n Una infracci\u00f3n exitosa es seguida por el actor de amenazas que intenta deshabilitar Microsoft Defender mediante un comando de PowerShell y establece la persistencia en el host a trav\u00e9s de un instancia de servicio<\/a>.<\/p>\n Bitdefender dijo que tambi\u00e9n observ\u00f3 a Charming Kitten descargando dos m\u00f3dulos de Internet Information Services (IIS) capaces de procesar instrucciones entrantes y filtrar credenciales.<\/p>\n Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n Guardar mi asiento!<\/a><\/div>\n BellaCiao, por su parte, tambi\u00e9n se destaca por realizar una solicitud de DNS cada 24 horas para resolver un subdominio en una direcci\u00f3n IP que luego se analiza para extraer los comandos que se ejecutar\u00e1n en el sistema comprometido.<\/p>\n “La direcci\u00f3n IP resuelta es como la direcci\u00f3n IP p\u00fablica real, pero con ligeras modificaciones que permiten a BellaCiao recibir m\u00e1s instrucciones”, explic\u00f3 Zugec.<\/p>\n Se comunica “con un servidor DNS controlado por un atacante que env\u00eda instrucciones codificadas maliciosas a trav\u00e9s de una direcci\u00f3n IP resuelta que imita la direcci\u00f3n IP real del objetivo. El resultado es malware adicional que se elimina a trav\u00e9s de instrucciones codificadas en lugar de una descarga tradicional”.<\/p>\n Dependiendo de la direcci\u00f3n IP resuelta, la cadena de ataque conduce a la implementaci\u00f3n de un shell web que admite la capacidad de cargar y descargar archivos arbitrarios, as\u00ed como ejecutar comandos.<\/p>\n Tambi\u00e9n se detect\u00f3 una segunda variante de BellaCiao que sustituye el shell web por una herramienta Plink, una utilidad de l\u00ednea de comandos para PuTTY, que est\u00e1 dise\u00f1ada para establecer una conexi\u00f3n de proxy inverso<\/a> a un servidor remoto e implementar funciones de puerta trasera similares.<\/p>\n Se eval\u00faa que los ataques se encuentran en la segunda etapa despu\u00e9s de los ataques oportunistas, en los que BellaCiao se personaliza y despliega contra v\u00edctimas de inter\u00e9s cuidadosamente seleccionadas luego de la explotaci\u00f3n indiscriminada de sistemas vulnerables.<\/p>\n “La mejor protecci\u00f3n contra los ataques modernos implica implementar una arquitectura de defensa en profundidad”, concluy\u00f3 Zugec. “El primer paso en este proceso es reducir la superficie de ataque, lo que implica limitar la cantidad de puntos de entrada que los atacantes pueden usar para obtener acceso a sus sistemas y parchear r\u00e1pidamente las vulnerabilidades reci\u00e9n descubiertas”.<\/p>\n <\/p>\n