Ciberespías proPalestina cambian de táctica en la cadena de infección
La campaña de spear-phishing altamente selectiva utiliza el complemento de Microsoft PowerPoint y archivos adjuntos XLL, RAR para distribuir programas maliciosos.
Los investigadores advierten de que un agente de ciberespionaje que se dirige contra entidades gubernamentales de Oriente Próximo y el Norte de África, generalmente afín a los intereses palestinos, ha cambiado tres veces sus tácticas de cadena de infección en los últimos meses. El grupo es conocido por dirigirse a un número muy reducido de organizaciones en cada campaña para distribuir un implante de malware personalizado apodado IronWind.
Rastreado como TA402 por la firma de seguridad Proofpoint desde 2020, los ataques y técnicas del grupo se solapan con informes de terceros que atribuyen la actividad a Molerats, Gaza Cybergang, Frankenstein y WIRTE, por lo que podría tratarse de diferentes nombres para el mismo grupo.
"A finales de octubre de 2023, los investigadores de Proofpoint no habían observado ningún cambio en los objetivos de TA402, un grupo APT que históricamente ha operado en interés de los Territorios Palestinos, ni identificado ningún indicio de un mandato alterado a pesar del conflicto actual en la región", dijeron los investigadores de Proofpoint en un nuevo informe. "Sigue siendo posible que este actor de amenazas redirija sus recursos a medida que los acontecimientos continúan desarrollándose".
Malware entregado a través de complementos de Microsoft PowerPoint, archivos adjuntos XLL y RAR
Los ataques TA402 comienzan con correos electrónicos de spear-phishing enviados desde cuentas de correo electrónico comprometidas de entidades legítimas. En algunas de sus campañas recientes, el grupo utilizó una cuenta de correo electrónico del Ministerio de Asuntos Exteriores de un país para enviar correos con un señuelo en árabe que se traduce como "Programa de cooperación económica con los países del Consejo de Cooperación del Golfo 2023-2024". Los objetivos eran otras entidades gubernamentales de Oriente Próximo.
En campañas anteriores observadas durante 2021 y 2022, los correos electrónicos de phishing del grupo contenían enlaces que llevaban a los usuarios a través de un script de redirección que comprobaba la ubicación de su dirección IP. Los destinatarios recibían un archivo RAR que contenía un programa malicioso llamado NimbleMamba, mientras que aquellos cuya dirección IP no coincidía con la zona objetivo eran redirigidos a un sitio de noticias legítimo.
En nuevas campañas vistas en julio, los atacantes incluían enlaces en sus correos electrónicos que dirigían a las víctimas a descargar un archivo malicioso de complemento de Microsoft PowerPoint (PPAM) desde Dropbox. Al mes siguiente, los atacantes cambiaron su señuelo por "Lista de personas y entidades (designadas como terroristas) por la Autoridad de Lucha contra el Blanqueo de Capitales y la Financiación del Terrorismo" y adjuntaron un archivo XLL (complemento de Excel) directamente al correo electrónico. En octubre, el grupo volvió a cambiar de táctica de entrega e incluyó archivos adjuntos maliciosos RAR en lugar de XLL, mientras que el señuelo cambió a "Informe y recomendaciones de la 110ª sesión sobre la guerra contra Gaza".
El implante de malware IronWind
Todas las campañas recientes incluían un implante de malware de acceso inicial que los investigadores de Proofpoint denominaron IronWind. Sin embargo, basándose en las rutas de depuración dejadas en el código, los creadores del malware bautizaron su proyecto como Tornado.
Los adjuntos maliciosos suelen desplegar tres archivos: version.dll (IronWind), timeout.exe y gatherNetworkInfo.vbs. Timeout.exe es un archivo legítimo vulnerable a la carga lateral de DLL que se utiliza para cargar IronWind. Una vez que el implante de malware está activo, se pone en contacto con un servidor de mando y control (C2) alojado por los atacantes, lo que supone un cambio con respecto a la técnica anterior del grupo de utilizar servicios en la nube como la API de Dropbox para el C2. El servidor de control devuelve un shellcode malicioso que representa la tercera etapa de la cadena de infección.
A continuación, el shellcode descarga varios ejecutables escritos en .NET que se utilizan para realizar consultas a través de la interfaz WMI (Windows Management Instrumentation), así como un cargador de malware polivalente: un ejecutable .NET que utiliza SharpSploit, una biblioteca .NET de post-explotación escrita en C#.
El ejecutable .NET seguía haciendo peticiones al servidor C2 utilizando una cadena UserAgent personalizada como autenticación y buscaba cargas útiles de shellcode adicionales para ejecutar. Los investigadores no observaron ninguna etapa de infección adicional para analizar en este momento, pero el grupo podría estar en proceso de realizar mejoras en el implante.
"TA402 sigue siendo un actor de amenazas persistente e innovador que retoca rutinariamente sus métodos de ataque y malware en apoyo de su mandato de espionaje cibernético", dijeron los investigadores de Proofpoint. "Su uso continuo de geofencing y documentos señuelo sigue sirviendo a sus esfuerzos de evasión de detección. Aunque TA402 es un actor de amenazas centrado en la recopilación de inteligencia con un interés específico en las entidades gubernamentales de Oriente Medio y el norte de África, el grupo podría encontrarse bajo la dirección de ajustar sus objetivos o señuelos de ingeniería social en reacción al actual conflicto entre Israel y Hamás".
