O ator de ameaças iraniano rastreado como APT34 foi vinculado a um novo ataque de phishing que leva à implantação de uma variante de um backdoor chamado SideTwist.
"O APT34 tem um alto nível de tecnologia de ataque, pode projetar diferentes métodos de intrusão para diferentes tipos de alvos e tem capacidade de ataque à cadeia de suprimentos", disseram os Laboratórios de Segurança da NSFOCUS em um relatório publicado na semana passada.
O APT34, também conhecido pelos nomes Cobalt Gypsy, Hazel Sandstorm (anteriormente Europium), Helix Kitten e OilRig, tem um histórico de ataques às verticais de telecomunicações, governo, defesa, petróleo e serviços financeiros no Oriente Médio desde pelo menos 2014 através de iscas de spear-phishing que culminam na implantação de vários backdoors.
Uma das principais características do grupo hacker é sua capacidade de criar novas ferramentas e atualizá-las para minimizar as chances de detecção e ganhar uma posição em hosts comprometidos por longos períodos de tempo.
O SideTwist foi documentado pela primeira vez como usado pelo APT34 em abril de 2021, com o Check Point descrevendo-o como um implante capaz de download/upload de arquivos e execução de comandos.
A cadeia de ataque identificada pela NSFOCUS inicia com um documento do Microsoft Word que contém uma macro maliciosa, que, por sua vez, extrai e iniciao payload codificado em Base64 armazenada no arquivo.
O payload é uma variante do SideTwist que é compilada usando GCC e estabelece comunicação com um servidor remoto (11.0.188[.]38) para receber novos comandos.
A novidade chega após os Laboratórios Fortinet FortiGuard capturaram uma campanha de phishing que espalha uma nova variante do Agent Tesla usando um documento do Microsoft Excel especialmente criado que explora a
CVE-2017-11882
, uma vulnerabilidade de corrupção de memória de seis anos no Equation Editor do Microsoft Office, e a
CVE-2018-0802
.
"O módulo principal do Agent Tesla coleta informações sensíveis do dispositivo da vítima", disse o pesquisador de segurança Xiaopeng Zhang.
"Essas informações incluem as credenciais salvas de alguns softwares, informações de keylogging da vítima e capturas de tela."
De acordo com dados compartilhados pela empresa de cibersegurança Qualys, a
CVE-2017-11882
continua sendo uma das falhas mais exploradas até o momento, sendo explorada por "467 malwares, 53 atores de ameaças e 14 ransomwares" até recentemente em 31 de agosto de 2023.
Isso também ocorre após a descoberta de outro ataque de phishing que foi encontrado para usar imagens de arquivos ISO para lançar cepas de malware como Agent Tesla, LimeRAT e Remcos RAT em hosts infectados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...