Descubierto un troyano iraní que espía empresas aeroespaciales y de telecomunicaciones

Guardar

troyano_usado_iran_espiar_empresas_aeroespaciales (1)
troyano_usado_iran_espiar_empresas_aeroespaciales (1)

La empresa de ciberseguridad Cybereason ha descubierto una campaña de ciberespionaje de origen iraní que utiliza un troyano para atacar empresas multinacionales aeroespaciales y de telecomunicaciones.

Tras esta campaña se encuentra un nuevo ente llamado MalKamak y opera desde, al menos, 2018 mediante el uso de un malware de acceso remoto que evade los antivirus y ataca los servicios de nube pública de Dropbox, según el informe.

El texto detalla conexiones con otros otros actores de amenazas patrocinados por el estado iraní, tales como Chafer APT (APT39) y Agrius APT, y subraya que compañías de Europa, Estados Unidos, Oriente Medio y Rusia habrían sido objetivos de la campaña.

El último ataque detectado antes de la publicación del informe fue el pasado septiembre, ya que el grupo lleva actualizando el troyano desde su puesta en funcionamiento.

"La Operación GhostShell ha revelado un complejo ataque troyano de acceso remoto (RAT) capaz de evitar la detección manteniéndose oculto", ha detallado el consejero delegado y cofundador de Cybereason, Lior Div.

Los hallazgos claves del informe "Operation GhostShell" incluyen:

  • Nuevo actor de amenazas iraní MalKamak: un actor de amenazas iraní recién descubierto que ha estado operando desde al menos 2018 y hasta ahora se desconoce. La investigación establece posibles conexiones con otros actores de amenazas patrocinados por el estado iraní, incluidos Chafer APT (APT39) y Agrius APT.
  • Descubrimiento del nuevo ShellClient RAT: El equipo de Cybereason Nocturnus descubrió un sofisticado RAT (Troyano de acceso remoto) hasta la fecha indocumentado denominado ShellClient utilizado para operaciones de ciberespionaje muy sofisticadas.
  • Dirigido a empresas aeroespaciales y de telecomunicaciones: con base en la telemetría, esta amenaza se ha observado predominantemente en la región de Oriente Medio, pero también dirigida a organizaciones en los EE.UU., Rusia y Europa, con un enfoque en las industrias aeroespacial y de telecomunicaciones.
  • Desarrollo continuo desde 2018: la investigación ha revelado que esta amenaza se puso en funcionamiento por primera vez en 2018 y desde entonces ha estado en desarrollo activo con cada nueva versión agregando más funciones. Esta amenaza aún está activa.
  • Abuso de los servicios en la nube para C2: se ha observado que las versiones más recientes de ShellClient abusaban de los servicios de almacenamiento basados ​​en la nube para Command and Control (C2), en este caso el popular servicio Dropbox, para pasar desapercibidos al mezclarse con una red legítima de tráfico.
  • Diseñado para mantenerse camuflado: los autores de ShellClient han invertido mucho esfuerzo en hacer que el antivirus y otras herramientas de seguridad eviten su detección, aprovechando múltiples técnicas de ocultación.