Tecnología

Los piratas informáticos del gobierno se hacen pasar por empleados de recursos humanos para atacar objetivos israelíes

Los piratas informáticos del estado-nación se hacen pasar por empleados de recursos humanos para atacar objetivos israelíes

Los piratas informáticos asociados con el gobierno iraní han centrado sus esfuerzos de ataque en las empresas de TI y comunicaciones en Israel, probablemente en un intento de girar hacia sus objetivos reales.

Las campañas se han atribuido al grupo APT iraní conocido como Lyceum, Hexane y Siamesekitten, que lleva a cabo campañas de espionaje desde al menos 2018. [1, 2].

En múltiples ataques detectados en mayo y julio, los piratas informáticos combinaron técnicas de ingeniería social con una variante de malware actualizada que finalmente les daría acceso remoto a la máquina infectada.

En un caso, los piratas informáticos utilizaron el nombre de un ex gerente de recursos humanos de la empresa de tecnología ChipPC para crear un perfil falso de LinkedIn, una clara indicación de que los atacantes hicieron sus deberes antes de comenzar la campaña.

Perfil falso de LinkedIn para el gerente de recursos humanos de ChipPC
fuente: ClearSky

Investigadores de amenazas de la empresa de ciberseguridad ClearSky en un reporte Hoy dicen que los actores de Siamesekitten luego usaron el perfil falso para entregar malware a posibles víctimas con el pretexto de una oferta de trabajo:

  1. Identificación de la víctima potencial (empleado)
  2. Identificar al empleado del departamento de recursos humanos para suplantar
  3. Crear un sitio web de phishing que se haga pasar por la organización objetivo
  4. Crear archivos de señuelos compatibles con la organización suplantada
  5. Configurar un perfil falso en LinkedIn a nombre del empleado de recursos humanos
  6. Ponerse en contacto con víctimas potenciales con una oferta de trabajo “atractiva”, detallando un puesto en la organización suplantada
  7. Enviar a la víctima a un sitio web de phishing con un archivo de señuelo
  8. Una puerta trasera infecta el sistema y se conecta al servidor C&C a través de DNS y HTTPS
  9. El DanBot RAT se descarga en el sistema infectado
  10. Los piratas informáticos obtienen datos con fines de espionaje e intentan difundirse en la red

ClearSky cree que Siamesekitten ha pasado meses tratando de violar una gran cantidad de organizaciones en Israel utilizando herramientas de la cadena de suministro.

Si bien el interés del actor de la amenaza parece haber cambiado de las organizaciones en el Medio Oriente y África, los investigadores dicen que las empresas de TI y comunicaciones en Israel son solo un medio para llegar a los objetivos reales.

“Creemos que estos ataques y su enfoque en las empresas de TI y comunicaciones están destinados a facilitar los ataques de la cadena de suministro a sus clientes. Según nuestra evaluación, el objetivo principal del grupo es realizar espionaje y utilizar la red infectada para obtener acceso a las redes de sus clientes. Al igual que con otros grupos, es posible que el espionaje y la recopilación de inteligencia sean los primeros pasos para ejecutar ataques de suplantación de identidad dirigidos al ransomware o al malware de limpieza ”- ClearSky

Los investigadores descubrieron dos sitios web que forman parte de la infraestructura de Siamesekitten para las campañas de ciberespionaje dirigidas a empresas en Israel.

Uno imita el sitio de la empresa alemana de software empresarial Software AG y el otro imita el sitio web de ChipPc. En ambos casos, se le pide a la víctima potencial que descargue un archivo de Excel (XLS) que supuestamente contiene detalles sobre la oferta de trabajo o el formato del currículum.

Los dos archivos incluyen una macro maliciosa protegida con contraseña que inicia la cadena de infección extrayendo una puerta trasera llamada MsNpENg.

Extraer puerta trasera MsNpENg
fuente: ClearSky

ClearSky señala que entre las dos campañas (de mayo a julio) que observaron, Siamesekitten cambió de una versión de puerta trasera más antigua escrita en C ++ y llamada Milán a una variante más nueva llamada Shark, que está escrita en .NET.

Informe de hoy [PDF] contiene detalles técnicos para ambas variantes junto con direcciones IP para la infraestructura del atacante, direcciones de correo electrónico utilizadas para registrar servidores y hashes para archivos maliciosos.

Leave a Comment

You may also like

Más