APT34/OilRig Utiliza Linkedin Para Distribuir Malware
El grupo de ciberespionaje vinculado a Irán OilRig, también conocido como APT34, HelixKitten y Greenbug, lanzó una nueva campaña de phishing dirigida a organizaciones de la industria de la energía, el petróleo y el gas, junto con entidades gubernamentales.
La campaña fue detectada en junio de 2019 por los investigadores de FireEye, quienes dijeron que el grupo estaba usando LinkedIn para entregar nuevo malware. Como parte de los ataques, los ciberdelincuentes se hicieron pasar por un investigador de la Universidad de Cambridge para ganarse la confianza de las víctimas para abrir documentos maliciosos.
El grupo iraní OilRig está activo desde al menos 2014, principalmente enfocado en organizaciones de los sectores financiero, gubernamental, energético, de telecomunicaciones y químico en el Medio Oriente.
Según un informe reciente de FireEye , APT34 actualizó su conjunto de herramientas con tres nuevas familias de malware rastreadas como TONEDEAF, VALUEVAULT y LONGWATCH. El primero es un backdoor que recopila información del sistema, puede cargar y descargar archivos y puede ejecutar comandos de shell arbitrarios. El backdoor se comunica con un servidor de comando y control (C&C) utilizando las solicitudes HTTP GET y POST. En la campaña reciente, el malware se distribuyó a través de un archivo .XLS entregado a través de un mensaje de LinkedIn recibido de alguien que aparentemente trabaja en la Universidad de Cambridge. La hoja de cálculo creó un archivo ejecutable en el sistema local y una tarea programada para ejecutarlo cada minuto.
FireEye también detectó otras tres familias de malware que se conectan al mismo dominio (offlineearthquake [.]com): VALUEVAULT, LONGWATCH y una variante de PICKPOCKET, una conocida herramienta de robo de credenciales del navegador que se vio anteriormente en diferentes campañas de APT24.
"Sospechamos que esta no será la última vez que APT34 trae nuevas herramientas a la mesa. Los actores de amenazas a menudo están modificando sus TTP para evadir los mecanismos de detección, especialmente si el objetivo es altamente deseado. Por estas razones, recomendamos que las organizaciones permanezcan vigilantes en sus defensas y recuerden ver su entorno de manera integral cuando se trata de la seguridad de la información", concluye el informe.
Fuente: FireEye
La campaña fue detectada en junio de 2019 por los investigadores de FireEye, quienes dijeron que el grupo estaba usando LinkedIn para entregar nuevo malware. Como parte de los ataques, los ciberdelincuentes se hicieron pasar por un investigador de la Universidad de Cambridge para ganarse la confianza de las víctimas para abrir documentos maliciosos.
El grupo iraní OilRig está activo desde al menos 2014, principalmente enfocado en organizaciones de los sectores financiero, gubernamental, energético, de telecomunicaciones y químico en el Medio Oriente.
Según un informe reciente de FireEye , APT34 actualizó su conjunto de herramientas con tres nuevas familias de malware rastreadas como TONEDEAF, VALUEVAULT y LONGWATCH. El primero es un backdoor que recopila información del sistema, puede cargar y descargar archivos y puede ejecutar comandos de shell arbitrarios. El backdoor se comunica con un servidor de comando y control (C&C) utilizando las solicitudes HTTP GET y POST. En la campaña reciente, el malware se distribuyó a través de un archivo .XLS entregado a través de un mensaje de LinkedIn recibido de alguien que aparentemente trabaja en la Universidad de Cambridge. La hoja de cálculo creó un archivo ejecutable en el sistema local y una tarea programada para ejecutarlo cada minuto.
FireEye también detectó otras tres familias de malware que se conectan al mismo dominio (offlineearthquake [.]com): VALUEVAULT, LONGWATCH y una variante de PICKPOCKET, una conocida herramienta de robo de credenciales del navegador que se vio anteriormente en diferentes campañas de APT24.
- VALUEVAULT es una versión compilada por Golang de la herramienta de robo de credenciales del navegador de Windows Vault Password Dumper.
- LONGWATCH es un registrador de teclas que genera pulsaciones de teclas en un archivo log.txt en la carpeta temporal de Windows.
"Sospechamos que esta no será la última vez que APT34 trae nuevas herramientas a la mesa. Los actores de amenazas a menudo están modificando sus TTP para evadir los mecanismos de detección, especialmente si el objetivo es altamente deseado. Por estas razones, recomendamos que las organizaciones permanezcan vigilantes en sus defensas y recuerden ver su entorno de manera integral cuando se trata de la seguridad de la información", concluye el informe.
Fuente: FireEye
Via: feedproxy.google.com
APT34/OilRig Utiliza Linkedin Para Distribuir Malware
Reviewed by Anónimo
on
17:20
Rating: