Una nueva cepa de malware que ha estado aterrizando en sistemas pertenecientes a organizaciones en los EE. UU., Europa, Turquía e India ha brindado otra indicación de cómo los grupos de amenazas cibernéticas respaldados por el estado de Irán han estado modernizando sistemáticamente sus arsenales en los últimos años.
El malware, denominado "BellaCiao", es un cuentagotas que el grupo de amenazas persistentes avanzadas (APT) Charming Kitten de Irán ha estado utilizando de manera muy específica en los últimos meses para obtener y mantener un acceso inicial discreto en los sistemas de destino.
Una amenaza altamente personalizada
Los investigadores de Bitdefender descubrieron el nuevo malware cuando investigaban la actividad relacionada con otras tres herramientas de malware recientes asociadas con Charming Kitten. Su análisis del código malicioso: resumido en una publicación de blog esta semana — descubrió un par de características que lo distinguen de muchas otras muestras de malware.
Uno fue la naturaleza específicamente dirigida del cuentagotas que terminó en el sistema de cada víctima. El otro era el estilo único y difícil de detectar de BellaCiao de comunicarse con su servidor de comando y control (C2).
“Cada muestra que hemos recopilado está hecha a medida para cada víctima”, dice Martin Zugec, director de soluciones técnicas de Bitdefender. Cada muestra incluye información codificada que es específica de la organización víctima, como el nombre de la empresa, direcciones IP públicas y subdominios especialmente diseñados.
La intención aparente de Charming Kitten al hacer que el malware sea específico para la víctima es mezclarse con los sistemas host y las redes, dice Zugec. Por ejemplo, los subdominios y las direcciones IP que utiliza el malware para interactuar con el C2 son similares al dominio real y las direcciones IP públicas de la víctima. El análisis de Bitdefender de la información de compilación del malware mostró que sus autores habían organizado a las víctimas en diferentes carpetas con nombres que indicaban los países en los que se encontraban. El proveedor de seguridad descubrió que los actores de Charming Kitten usaban versiones de BellaCiao optimizadas para víctimas, incluso cuando la víctima objetivo era de un sector no crítico.
Enfoque único para recibir comandos C2
Zugec dice que la forma en que BellaCiao interactúa con el servidor C2 y recibe comandos de él también es única. “La comunicación entre el implante y la infraestructura C2 se basa en la resolución de nombres DNS”, explica. No hay comunicación activa detectable entre el implante y la infraestructura C2 maliciosa. "[Los hosts infectados] solicitan a los servidores de Internet una resolución de nombre DNS y, en función del formato de la dirección IP devuelta, decide qué acción tomar". El formato de cada segmento de dirección IP — u octeto - especifica más instrucciones para el malware, como la ubicación donde dejar la información robada, dice Zugec.
Zugec compara la forma en que BellaCio utiliza la información de DNS para recuperar la instrucción C2 con la forma en que alguien podría transmitir información específica a otra persona a través de un número de teléfono. Cuando una persona busca un nombre específico en la guía telefónica, el número de teléfono asociado podría ser un código para otra cosa. “En esta analogía, el código de país puede indicarle la acción a ejecutar, el código de área le indica el malware que debe implementar y el número de teléfono especifica la ubicación donde implementarlo. Nunca hay contacto directo entre C2 y el agente/implante”. El enfoque dificulta que los defensores detecten la actividad. “Nuestra hipótesis es que el objetivo de BellaCiao es evadir la detección durante el período entre la infiltración inicial y el comienzo real del ataque”, dice Zugec.
Los ataques basados en DNS en sí mismos no son completamente nuevos, dice Zugec, señalando técnicas como la tunelización de DNS y el uso de algoritmos de generación de dominios en los ataques. Pero las técnicas implican el uso activo de DNS, lo que hace posible que un defensor detecte intenciones maliciosas. Con BellaCiao, el uso es completamente pasivo, dice.
El rostro de un enfoque más agresivo
Charming Kitten (también conocido como APT35 y Phosphorous), es un grupo de amenazas cibernéticas iraní respaldado por el estado que ha estado en funcionamiento desde al menos 2014. El actor de amenazas se ha asociado con numerosos ataques sofisticados de phishing dirigido contra objetivos que han incluido agencias gubernamentales, periodistas, think tanks e instituciones académicas. Una de sus principales misiones ha sido recopilar información sobre personas y entidades de interés para el gobierno iraní. Los investigadores de seguridad también han asociado a Charming Kitten con recolección de credenciales y campañas de distribución de malware. El año pasado, Proofpoint identificó al grupo como incluso usando señuelos de phishing en ataques cinéticos — como intento de secuestro.
Charming Kitten se encuentra entre varios grupos de amenazas que han estado mejorando sus tácticas y sus arsenales cibernéticos en apoyo de los objetivos del gobierno iraní desde mediados de 2021 después de que Ebrahim Raisi reemplazó al más moderado Hassan Rouhani como presidente de Irán. “Después de una transición de poder en 2021, el [Cuerpo de la Guardia Revolucionaria Islámica] y los grupos APT asociados adoptaron un enfoque más agresivo y de confrontación y demostraron su disposición a usar la fuerza para lograr sus objetivos”, dijo Bitdefender en su informe esta semana.
Una manifestación del nuevo enfoque es el armamento cada vez más rápido de los exploits recientemente revelados y el código de prueba de concepto, por parte de actores patrocinados por el estado iraní y grupos de amenazas motivados financieramente. “Es prematuro discutir las motivaciones de los grupos patrocinados por el estado iraní después de la transición de poder en 2021”, dice Zugec. “[Pero] estos grupos están mejorando sus estrategias de ataque y refinando sus tácticas, técnicas y procedimientos”.
Los ataques de ransomware continúan siendo un método común entre los grupos iraníes para obtener ganancias monetarias y causar interrupciones. Pero Bitdefender también ha observado un patrón de participación sostenida de grupos iraníes en algunas campañas, lo que sugiere objetivos a largo plazo. "Es muy posible que estos actores de amenazas estén empleando un enfoque de prueba y error para probar varias técnicas", señala Zugec, "con el fin de determinar el modus operandi más efectivo para sus operaciones".
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Fuente: https://www.darkreading.com/cloud/bellaciao-showcases-iran-threat-groups-modernizing-malware
