30 de agosto de 2024Ravie LakshmananAmenaza cibernética / Espionaje cibernético Los investigadores de ciberseguridad han descubierto una nueva infraestructura de red creada por actores de amenazas iraníes para respaldar actividades vinculadas a los recientes ataques a campañas políticas estadounidenses. El grupo Insikt de Recorded Future ha vinculado la infraestructura a una amenaza que rastrea como GreenCharlie, un grupo de ciberamenazas con nexo con Irán que se superpone con APT42, Charming Kitten, Damselfly, Mint Sandstorm (anteriormente Phosphorus), TA453 y Yellow Garuda. «La infraestructura del grupo está meticulosamente diseñada, utilizando proveedores de DNS dinámico (DDNS) como Dynu, DNSEXIT y Vitalwerks para registrar dominios utilizados en ataques de phishing», dijo la empresa de ciberseguridad. «Estos dominios a menudo emplean temas engañosos relacionados con servicios en la nube, intercambio de archivos y visualización de documentos para atraer a los objetivos para que revelen información confidencial o descarguen archivos maliciosos». Los ejemplos incluyen términos como «cloud», «uptimezone», «doceditor», «joincloud» y «pageviewer», entre otros. La mayoría de los dominios se registraron utilizando el dominio de nivel superior (TLD) .info, un cambio con respecto a los TLD .xyz, .icu, .network, .online y .site observados anteriormente. El adversario tiene un historial de organizar ataques de phishing altamente específicos que aprovechan extensas técnicas de ingeniería social para infectar a los usuarios con malware como POWERSTAR (también conocido como CharmPower y GorjolEcho) y GORBLE, que fue identificado recientemente por Mandiant, propiedad de Google, como utilizado en campañas contra Israel y EE. UU. Se evalúa que GORBLE, TAMECAT y POWERSTAR son variantes del mismo malware, una serie de implantes de PowerShell en constante evolución implementados por GreenCharlie a lo largo de los años. Vale la pena señalar que Proofpoint detalló otro sucesor de POWERSTAR llamado BlackSmith que se utilizó en una campaña de phishing dirigida a una figura judía prominente a fines de julio de 2024. El proceso de infección suele ser de varias etapas, que implica obtener acceso inicial a través de phishing, seguido del establecimiento de comunicación con servidores de comando y control (C2) y, en última instancia, la exfiltración de datos o la entrega de cargas útiles adicionales. Los hallazgos de Recorded Future muestran que el actor de amenazas registró una gran cantidad de dominios DDNS desde mayo de 2024, y la compañía también identificó comunicaciones entre direcciones IP con sede en Irán (38.180.146[.]194 y 38.180.146[.]174) y la infraestructura de GreenCharlie entre julio y agosto de 2024. Además, se ha descubierto un vínculo directo entre los clústeres de GreenCharlie y los servidores C2 utilizados por GORBLE. Se cree que las operaciones se facilitan mediante Proton VPN o Proton Mail para ofuscar su actividad. «Las operaciones de phishing de GreenCharlie son muy específicas, y a menudo emplean técnicas de ingeniería social que explotan los acontecimientos actuales y las tensiones políticas», dijo Recorded Future. «El grupo ha registrado numerosos dominios desde mayo de 2024, muchos de los cuales probablemente se utilizan para actividades de phishing. Estos dominios están vinculados a proveedores de DDNS, que permiten cambios rápidos en las direcciones IP, lo que dificulta el seguimiento de las actividades del grupo». La revelación se produce en medio de un aumento de la actividad cibernética maliciosa iraní contra Estados Unidos y otros objetivos extranjeros. A principios de esta semana, Microsoft reveló que varios sectores en los EE. UU. y los Emiratos Árabes Unidos son el objetivo de un actor de amenazas iraní con nombre en código Peach Sandstorm (también conocido como Refined Kitten). Además, las agencias del gobierno de Estados Unidos dijeron que otro grupo de piratas informáticos respaldado por el estado iraní, Pioneer Kitten, ha trabajado como intermediario de acceso inicial (IAB) para facilitar ataques de ransomware contra los sectores de educación, finanzas, atención médica, defensa y gobierno en Estados Unidos en colaboración con los grupos de NoEscape, RansomHouse y BlackCat. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.