O ator de ameaças iraniano rastreado como APT34 foi vinculado a um novo ataque de phishing que leva à implantação de uma variante de um backdoor chamado SideTwist.
"O APT34 tem um alto nível de tecnologia de ataque, pode projetar diferentes métodos de intrusão para diferentes tipos de alvos e tem capacidade de ataque à cadeia de suprimentos", disseram os Laboratórios de Segurança da NSFOCUS em um relatório publicado na semana passada.
O APT34, também conhecido pelos nomes Cobalt Gypsy, Hazel Sandstorm (anteriormente Europium), Helix Kitten e OilRig, tem um histórico de ataques às verticais de telecomunicações, governo, defesa, petróleo e serviços financeiros no Oriente Médio desde pelo menos 2014 através de iscas de spear-phishing que culminam na implantação de vários backdoors.
Uma das principais características do grupo hacker é sua capacidade de criar novas ferramentas e atualizá-las para minimizar as chances de detecção e ganhar uma posição em hosts comprometidos por longos períodos de tempo.
O SideTwist foi documentado pela primeira vez como usado pelo APT34 em abril de 2021, com o Check Point descrevendo-o como um implante capaz de download/upload de arquivos e execução de comandos.
A cadeia de ataque identificada pela NSFOCUS inicia com um documento do Microsoft Word que contém uma macro maliciosa, que, por sua vez, extrai e iniciao payload codificado em Base64 armazenada no arquivo.
O payload é uma variante do SideTwist que é compilada usando GCC e estabelece comunicação com um servidor remoto (11.0.188[.]38) para receber novos comandos.
A novidade chega após os Laboratórios Fortinet FortiGuard capturaram uma campanha de phishing que espalha uma nova variante do Agent Tesla usando um documento do Microsoft Excel especialmente criado que explora a
CVE-2017-11882
, uma vulnerabilidade de corrupção de memória de seis anos no Equation Editor do Microsoft Office, e a
CVE-2018-0802
.
"O módulo principal do Agent Tesla coleta informações sensíveis do dispositivo da vítima", disse o pesquisador de segurança Xiaopeng Zhang.
"Essas informações incluem as credenciais salvas de alguns softwares, informações de keylogging da vítima e capturas de tela."
De acordo com dados compartilhados pela empresa de cibersegurança Qualys, a
CVE-2017-11882
continua sendo uma das falhas mais exploradas até o momento, sendo explorada por "467 malwares, 53 atores de ameaças e 14 ransomwares" até recentemente em 31 de agosto de 2023.
Isso também ocorre após a descoberta de outro ataque de phishing que foi encontrado para usar imagens de arquivos ISO para lançar cepas de malware como Agent Tesla, LimeRAT e Remcos RAT em hosts infectados.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...