Campaña de malware de APT Iraní apunta a entidades gubernamentales

Las campañas de malware se dirigieron a diferentes organizaciones en países del oriente medio y entidades gubernamentales. Además, los actores de amenaza utilizaron una lista de cuentas de usuario válidas del dominio de destino junto con una lista de contraseñas débiles para determinar cuentas potencialmente accesibles.

Apareció un nuevo malware que roba credenciales denominado »ForeLord», dirigido a potenciales víctimas a través de campañas de Phishing. Mientras tanto, los investigadores han atribuido la campaña a un conocido grupo iraní de amenaza persistente avanzada (APT).

Según los informes, la estafa de correo electrónico de Phishing se observó entre mediados de 2019 y mediados de enero de 2020.

La campaña por correo electrónico se dirigió a organizaciones en Turquía, Jordania, Iraq, así como a organizaciones gubernamentales globales y algunas entidades en Georgia y Azerbaiyán.

Las muestras analizadas revelaron que esta campaña podría ser desarrollada por el grupo de amenaza Cobalt Ulster (también conocido como MuddyWater, Seedworm, TEMP.Zagros y Static Kitten).

Históricamente, este grupo ha estado apuntando a víctimas del gobierno en el Medio Oriente para extraer datos sensibles.

El malware se llama ForeLord porque una vez que se conecta a los servidores C2, recibe una cadena de código que dice «lordlordlordlord».

¿Cómo funciona?

En esta campaña, los investigadores observaron múltiples correos electrónicos utilizando archivos adjuntos maliciosos para obtener acceso inicial. Mientras que, Cobalt Ulster es conocido por usar un tema relacionado con una agencia gubernamental, universidad u organización de inteligencia como un gancho. La campaña reciente utilizó un estilo más genérico, según los investigadores.

·Se les pide a las víctimas que abran un archivo ZIP que contenga un archivo malicioso de Excel.

·Luego se realiza una solicitud abierta para habilitar-ver el documento.

·Una vez habilitado, el malware deshabilita los controles de seguridad y el código malicioso se ejecuta en los sistemas de las víctimas.

·ForeLord deja varias herramientas utilizadas para recopilar información crítica y credenciales.

· Prueba las credenciales en la red y crea un túnel SSL inverso para proporcionar un canal de acceso adicional para la red pirateada.