Así obtiene un grupo iraní contraseñas mediante técnicas avanzadas de ingeniería social

APT42, un actor conocido por sus actividades de ciperespionaje y patrocinado por Irán, ha estado utilizando técnicas mejoradas de ingeniería social, como hacerse pasar por periodistas u organizadores de eventos, para obtener acceso a los entornos de nube de las víctimas, según una investigación conjunta de Mandiant y Google Cloud. Este grupo apunta a ONG, medios de comunicación, organismos académicos, servicios legales y activistas tanto de Oriente Medio como de occidente.

“Sus objetivos y misiones son consistentes con su afiliación a parte del aparato de inteligencia iraní responsable de monitorizar y prevenir amenazas a la República Islámica”, dicen los investigadores. Además de campañas en la nube, APT42 también está asociado con actividades basadas en malware, operando dos ataques de puerta trasera como NICECURL y TAMECAT.

Recolecta credenciales de Microsoft, Google y Yahoo

Mandiant ha informado haber identificado diferentes infraestructuras usadas por este actor de amenazas para obtener contraseñas mediante técnicas de ingeniería social para obtener un acceso inicial a las redes de las víctimas, “a menudo utilizando métodos de mensajes continuos para establecer vínculos de confianza con los afectados […] Solo entonces se adquieren las credenciales deseadas y se evita la autenticación multifactor con una página web clonada, para luego enviar notificaciones automáticas a la víctima”.

Estas campañas se llevaron a cabo en tres etapas. Comienzan cuando se engaña a alguien para que haga clic en un sitio malicioso con señuelos que incluyen contenido relacionado con Irán y otros temas relacionados con asuntos exteriores. Finalmente, las víctimas son redirigidas a páginas de inicio de sesión falsas de Microsoft, Google o Yahoo, donde luego se lleva a cabo la recolección de credenciales.

“El grupo ha mejorado la credibilidad de su campaña con señuelos que invitaban a sus objetivos a eventos y conferencias relevantes. En un caso, el material señuelo estaba alojado en una carpeta de SharePoint controlada por el atacante, a la que solo se podía acceder después de que la víctima introdujera sus credenciales”.

Para evitar la detección, el actor de amenazas implementó múltiples técnicas de evasión de defensa, que incluían confiar en herramientas integradas y disponibles públicamente del entorno Microsoft 365, usar infraestructura anónima y hacerse pasar por la organización de la víctima mientras extraía archivos a OneDrive.

Puertas traseras para lanzar malware

Además de las campañas de recolección de credenciales, se observó que el actor de amenazas implementaba dos puertas traseras personalizadas. TAMECAT, un punto de apoyo de PowerShell que puede ejecutar comandos arbitrarios de PowerShell o C#, fue identificado por Mandiant en marzo de 2024 y eliminado mediante phishing a través de documentos macro maliciosos.

“Mandiant observó anteriormente que TAMECAT se utiliza en una campaña de phishing APT42 a gran escala dirigida a personas o entidades empleadas o afiliadas a ONG, gobiernos u organizaciones intergubernamentales de todo el mundo”.

En enero de 2024, la investigación encontró un archivo malicioso del creador de logotipos Sothink (LMK) que descargaba NICECURL, una puerta trasera escrita en VBScript que puede descargar módulos adicionales para su ejecución, incluida la extracción de datos y la ejecución de comandos arbitrarios. El archivo LMK iba acompañado de un señuelo en PDF que se hacía pasar por un formulario de comentarios de entrevista de la Escuela de Salud Pública TH Chan de Harvard.

"Ambas puertas traseras se entregaron con contenido señuelo y brindan a los operadores de APT42 acceso inicial a los objetivos. Las puertas traseras proporcionan una interfaz flexible de ejecución de código que puede usarse como punto de partida para implementar malware adicional o ejecutar comandos manualmente en el dispositivo".