CONOCIMIENTO pertenece al mundo
ClearSky Seguridad descubrió una nueva campaña llevada a cabo por el apalancamiento de malware APT plataforma petrolífera iraní firmado digitalmente y falsa Universidad de Oxford dominios.
El grupo de hackers oilrig es un TEA Irán ligado a que ha existido por lo menos desde el año 2015.
Los investigadores de Palo Alto Networks han estado monitoreando el grupo durante algún tiempo y han informado de ataques lanzados contra las agencias gubernamentales, instituciones financieras y de tecnología de las empresas en Arabia Saudí, Israel, los Emiratos Árabes Unidos, Líbano, Kuwait y Qatar, los Estados Unidos y Turquía .
El nombre oilrig fue utilizado por Palo Alto Networks, para identificar la campaña de este actor amenaza específica que aprovechaba en hojas de cálculo de Microsoft Excel en armas rastreadas como "Clayslide" y una puerta trasera llamado "helminto".
Ahora tenemos una nueva actualización de la actividad de la plataforma petrolífera APT que en una reciente serie de ataques dirigidos a varias organizaciones israelíes, incluyendo los proveedores de TI, el servicio postal nacional, y las instituciones financieras.
Los expertos en seguridad de ClearSky descubrieron que los hackers iraníes establecieron un portal falso Juniper Networks VPN y utilizan cuentas de correo electrónico de proveedores de TI comprometidos para atraer a las víctimas a la misma.
Los piratas informáticos utilizan las cuentas de correo electrónico de los proveedores de TI para enviar mensajes que contienen enlaces al portal de VPN falsa a las víctimas.
"El correo electrónico fue enviado desde una cuenta comprometida de un proveedor de TI. Correos electrónicos similares fueron enviados desde otros proveedores de TI en el mismo período de tiempo, lo que sugiere que los atacantes tuvieron un punto de apoyo dentro de sus redes, o al menos podrían tener acceso a equipos específicos o cuentas de correo electrónico. "Lee el análisis de ClearSky.
Cuando las víctimas aterrizan en el sitio web de Juniper pícaro, se les instruyó para instalar un cliente VPN, en este caso, los atacantes utilizaron un software legítimo de Juniper Networks envasados con el helminto malware.
Los hackers firmaron el cliente VPN malicioso con un certificado de firma de código válido emitido por Symantec para una compañía de software con sede en EEUU llamado AI Squared. Los investigadores también descubrieron una segunda muestra del malware Helminto firmado con otro certificado.
"Otra muestra de helmintos, 1c23b3f11f933d98febfd5a92eb5c715, fue firmado con un certificado de firma de código diferente AI Squared:
Huella digital: 92B8C0872BACDC226B9CE4D783D5CCAD61C6158A
Número de serie: 62 E0 44 E7 37 24 61 79 2D 4B 93 AF 97 46 13 48
Número de serie: 62 E0 44 E7 37 24 61 79 2D 4B 93 AF 97 46 13 48
Esto sugiere que los atacantes habían conseguido una bodega de una clave de firma AI Squared, lo que podría poner en peligro después de su red. Como alternativa, los atacantes podrían haber conseguido Symantec para emitirlas un certificado a nombre de AI Squared. ", Señala el análisis.
Los investigadores también descubrieron otros ataques en los que el grupo oilrig utiliza cuatro nombres de dominio al parecer pertenecientes a la Universidad de Oxford (incluyendo oxford-simposios [.] Com, Oxford carreras [.] Com, Oxford [.] En y oxford-empleado [.] Com ) .
En un caso, los piratas informáticos crearon una página web falsa inscripción a la conferencia de Oxford, cuando las víctimas se visitaron se les instruyó para instalar una herramienta supuestamente necesaria para el prerregistro que esconde un malware. También en este caso, la herramienta está firmado con un certificado AI Squared.
En diciembre de 2015, los investigadores de Symantec detallan las actividades de dos grupos de piratas informáticos basados en Irán, denominados Cadelle y Chafer, que utilizaron el backdoor.Cadelspy y backdoor.Remexi para espiar a los individuos y las organizaciones iraníes de Oriente Medio.
La dirección IP 83.142.230.138 mencionado en el informe de Symantec derivados de la infraestructura C & C utilizado por el grupo Chafer es el mismo utilizado por la plataforma petrolífera.
"Backdoor.Remexi, uno de los programas maliciosos en uso por Chafer, tenía la siguiente serie de comandos y control:
87pqxz159.dockerjsbin [.] Com
Curiosamente, la dirección IP 83.142.230.138, que sirven como una dirección de mando y control para una muestra relacionada oilrig (3a5fcba80c1fd685c4b5085d9d474118), fue apuntado por 87pqxz159.dockerjsbin [.] Com, así. "
Fuente: http: //securityaffairs.co/
CONOCIMIENTO pertenece al mundo
No hay comentarios:
Publicar un comentario