Global Preloader
Noticia Internacional
(11/Oct/2017) Cyberespias iraníes utilizan nuevo troyano en ataques de Oriente Medio

Cyberespias iraníes utilizan nuevo troyano en ataques de Oriente Medio

Un grupo de ciberespionaje previamente vinculado a Irán ha estado utilizando un nuevo troyano en ataques dirigidos a entidades en el Medio Oriente, informó el lunes el diario Palo Alto Networks.

El actor de la amenaza, conocido como OilRig, fue descubierto recientemente lanzando ataques contra una organización dentro del gobierno de los Emiratos Árabes Unidos (EAU).

Cuando descubrió las actividades del grupo en mayo de 2016, Palo Alto Networks creía que los ataques habían sido llevados a cabo por un grupo conocido, pero los investigadores determinaron más tarde que la campaña era en realidad el trabajo de un nuevo actor, que ahora es conocido como OilRig.

Se ha sabido que OilRig utiliza un troyano de acceso remoto (RAT) llamado ISMDoor, que los investigadores también identificaron en ataques lanzados por otro grupo cibernético vinculado a Irán conocido como Greenbug.

En los ataques vistos por Palo Alto Networks en julio de 2017, OilRig había comenzado a usar un nuevo pedazo de malware llamado "ISMAgent", que parecía ser una variante de la RAT ISMDoor. En ataques aún más recientes, observados por expertos en agosto de 2017, un nuevo troyano inyector fue utilizado por los atacantes.

El nuevo malware, rastreado como "ISMInjector", es una herramienta que tiene una arquitectura sofisticada e incluye técnicas anti-análisis que no fueron apalancadas previamente por este grupo.

En el ataque dirigido al gobierno de los EAU, los piratas informáticos entregaron su malware utilizando documentos maliciosos adjuntos a correos electrónicos con la línea de asunto "Asunto Importante". Lo que hizo que los correos electrónicos fueran interesantes era el hecho de que provenían del propio dominio de la organización objetivo. Aunque los expertos creían inicialmente que los atacantes habían falsificado al remitente, más tarde determinaron que utilizaban una cuenta de Outlook Web Access (OWA) comprometida cuyas credenciales obtenían en un ataque de phishing anterior.

Para hacer más difícil el análisis de ISMInjector, los desarrolladores del malware han confiado en lo que los investigadores llaman "máquinas de estado" para crear un nuevo proceso e inyectar la carga útil en ese proceso. Cada estado es responsable de realizar una acción en particular y especifica el siguiente estado que debe ejecutarse.

Irán parece tener varios grupos de espionaje cibernético, incluyendo APT33, Rocket Kitten, Cobalt Gypsy (Magic Hound), Charming Kitten (alias Newscaster y NewsBeef) y CopyKittens.