Los piratas informáticos del gobierno se hacen pasar por empleados de recursos humanos para atacar objetivos israelíes

Los piratas informáticos asociados con el gobierno iraní han centrado sus ataques en empresas de TI y comunicaciones en Israel, probablemente en un intento por lograr sus verdaderos objetivos.

Las campañas se han atribuido al grupo APT iraní conocido como Lyceum, Hexane and Siamesekitten, que ha estado realizando campañas de espionaje desde al menos 2018. [1, 2].

En múltiples ataques detectados en mayo y julio, los piratas informáticos combinaron técnicas de ingeniería social con una variante de malware actualizada que eventualmente les daría acceso remoto a la máquina infectada.

En un caso, los piratas informáticos utilizaron el nombre de un exgerente de recursos humanos de la empresa de tecnología ChipPC para crear un perfil falso de LinkedIn, una clara indicación de que los atacantes hicieron sus deberes antes de comenzar la campaña.

Perfil falso de LinkedIn para el gerente de recursos humanos de ChipPC
fuente: ClearSky

Investigadores de amenazas de la firma de ciberseguridad ClearSky en un reporte hoy afirman que los actores de Siamesekitten luego usaron el perfil falso para entregar malware a posibles víctimas con el pretexto de una oferta de trabajo:

  1. Identificación de la víctima potencial (empleado)
  2. Identificación del empleado del departamento de recursos humanos para suplantar
  3. Crear un sitio web de phishing que se haga pasar por la organización objetivo
  4. Creación de limas de cebo compatibles con la organización suplantada
  5. Crear un perfil de LinkedIn falso en nombre del empleado de recursos humanos
  6. Póngase en contacto con las víctimas potenciales con una oferta de trabajo "atractiva", especificando un puesto en la organización suplantada.
  7. Enviar a la víctima a un sitio web de phishing con un archivo señuelo
  8. Una puerta trasera infecta el sistema y se conecta al servidor C&C a través de DNS y HTTPS
  9. El DanBot RAT se descarga en el sistema infectado
  10. Los piratas informáticos obtienen datos con fines de espionaje e intentan difundirlos en la red

ClearSky cree que Siamesekitten ha pasado meses intentando piratear una gran cantidad de organizaciones en Israel utilizando herramientas de la cadena de suministro.

Si bien el interés del actor de amenazas parece haber cambiado de las organizaciones en el Medio Oriente y África, los investigadores dicen que las empresas de TI y comunicaciones en Israel son solo un medio para alcanzar objetivos reales.

“Creemos que estos ataques y su enfoque en las empresas de TI y comunicaciones están destinados a facilitar los ataques de la cadena de suministro a sus clientes. Según nuestra valoración, el principal objetivo del grupo es realizar actividades de espionaje y utilizar la red infectada para acceder a las redes de sus clientes. Al igual que con otros grupos, es posible que el espionaje y la recopilación de inteligencia sean los primeros pasos para llevar a cabo ataques de suplantación de identidad dirigidos al ransomware o al malware de limpieza "- ClearSky

Los investigadores descubrieron dos sitios web que forman parte de la infraestructura de Siamesekitten para campañas de ciberespionaje dirigidas a empresas en Israel.

Uno imita el sitio web de la empresa alemana de software empresarial Software AG y el otro imita el sitio web de ChipPc. En ambos casos, se le pide a la víctima potencial que descargue un archivo de Excel (XLS) que supuestamente contiene detalles sobre la oferta de trabajo o el formato del currículum.

Los dos archivos incluyen una macro maliciosa protegida con contraseña que inicia la cadena de infección extrayendo una puerta trasera llamada MsNpENg.

MsNpENg extracción de puerta trasera
fuente: ClearSky

ClearSky señala que entre las dos campañas (de mayo a julio) observadas, Siamesekitten pasó de una versión de puerta trasera más antigua escrita en C ++ y llamada Milán a una variante más nueva llamada Shark, que está escrita en .NET.

Informe de hoy [PDF] contiene detalles técnicos para ambas variantes junto con direcciones IP para la infraestructura del atacante, direcciones de correo electrónico utilizadas para registrar servidores y hashes para archivos maliciosos.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings