El actor de amenazas respaldado por el estado iraní rastreado como APT42 está empleando ataques de ingeniería social, incluso haciéndose pasar por periodistas, para violar redes corporativas y entornos de nube de objetivos occidentales y de Medio Oriente. APT42 fue documentado por primera vez por Mandiant en septiembre de 2022, quien informó que los actores de amenazas estaban activos desde 2015 y habían llevado a cabo al menos 30 operaciones en 14 países. Se ha observado que el grupo de espionaje, que se cree que está afiliado a la Organización de Inteligencia del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC-IO), tiene como objetivo organizaciones no gubernamentales, medios de comunicación, institutos educativos, activistas y servicios legales. Los analistas de amenazas de Google que siguen las operaciones de APT42 informan que los piratas informáticos utilizan correos electrónicos maliciosos para infectar sus objetivos con dos puertas traseras personalizadas, a saber, «Nicecurl» y «Tamecat», que proporcionan capacidades de ejecución de comandos y filtración de datos. Los ataques APT42 de creación de personas en línea se basan en ingeniería social y phishing, con el objetivo final de infectar los dispositivos de los objetivos con puertas traseras personalizadas, permitiendo a los actores de amenazas obtener acceso inicial a las redes de las organizaciones. El ataque comienza con correos electrónicos de personas en línea que se hacen pasar por periodistas, representantes de ONG u organizadores de eventos enviados desde dominios que «typosquat» (utilizan URL similares) a los de organizaciones legítimas. Una de las personas falsas creadas por APT42 Fuente: Google Las organizaciones de medios suplantadas por APT42 incluyen el Washington Post (EE. UU.), The Economist (Reino Unido), The Jerusalem Post (IL), Khaleej Times (EAU), Azadliq (Azerbaiyán) y Mandiant. afirmando que los ataques a menudo utilizan dominios con errores tipográficos como «washinqtonpost[.]prensa». Después de que los atacantes intercambian suficiente comunicación para generar confianza con la víctima, envían un enlace a un documento relacionado con una conferencia o un artículo de noticias, según el tema atractivo seleccionado. Documento señuelo utilizado en el ataque Fuente: Google Al hacer clic en los enlaces, los objetivos se dirigen a páginas de inicio de sesión falsas que imitan servicios conocidos como Google y Microsoft o incluso plataformas especializadas pertinentes al campo de trabajo de la víctima. Estos sitios de phishing recopilan no sólo las credenciales de la cuenta de la víctima sino también sus tokens de autenticación multifactor (MFA). Muestra de páginas de phishing Fuente: Google Después de robar todos los datos necesarios para secuestrar la cuenta de la víctima, los piratas informáticos se infiltran en la red corporativa o en el entorno de la nube y recopilan información confidencial, como correos electrónicos y documentos. Google informa que para evadir la detección y combinarse con las operaciones normales, APT42 limita sus acciones a las funciones integradas de las herramientas en la nube a las que tiene acceso, borra el historial de Google Chrome después de revisar documentos y utiliza direcciones de correo electrónico que parecen pertenecer a la organización victimizada. para exfiltrar archivos a cuentas de OneDrive. Además, APT42 utiliza nodos ExpressVPN, dominios alojados en Cloudflare y servidores VPS efímeros durante todas las interacciones con el entorno de la víctima, lo que dificulta la atribución. Descripción general del ataque APT42 Fuente: Google Malware de puerta trasera personalizado APT42 utiliza dos puertas traseras personalizadas llamadas Nicecurl y Tamecat, cada una diseñada para funciones específicas dentro de las operaciones de ciberespionaje. Nicecurl es una puerta trasera basada en VBScript capaz de realizar la ejecución de comandos, descargar y ejecutar cargas útiles adicionales o realizar extracción de datos en el host infectado. Tamecat es una puerta trasera PowerShell más compleja que puede ejecutar código PS arbitrario o scripts C#, lo que le da a APT42 mucha flexibilidad operativa para realizar robo de datos y manipulación extensa del sistema. En comparación con Nicecurl, Tamecat ofusca su comunicación C2 con base64, puede actualizar su configuración dinámicamente y evalúa el entorno infectado antes de la ejecución para evadir la detección de herramientas antivirus y otros mecanismos de seguridad activos. Ambas puertas traseras se implementan a través de correos electrónicos de phishing con documentos maliciosos y, a menudo, requieren permisos de macro para ejecutarse. Sin embargo, si APT42 ha cultivado la confianza de la víctima, este requisito se convierte en una barrera menor ya que es más probable que la víctima desactive manualmente las funciones de seguridad. Volexity analizó un malware similar, si no el mismo, en febrero, y también vinculó los ataques con actores de amenazas iraníes. La lista completa de indicadores de compromiso (IoC) para la reciente campaña APT42 y las reglas YARA para detectar el malware NICECURL y TAMECAT se pueden encontrar al final del informe de Google. URL de la publicación original: https://www.bleepingcomputer.com/news/security/iranian-hackers-pose-as-journalists-to-push-backdoor-malware/