Los piratas informáticos APT-C-23 están engañando a los funcionarios israelíes

Funcionarios israelíes de alto rango están siendo atrapados en una nueva campaña de ciberespionaje lanzada por APT-C-23. AridViper, también conocido como APT-C-23, Desert Falcon y Two-tailed Scorpion, es un grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) impulsado políticamente y activo en Oriente Medio. En el pasado, AridViper ha llevado a cabo ataques de phishing dirigido contra establecimientos policiales, militares y educativos palestinos, así como contra la Agencia de Seguridad de Israel (ISA).
En febrero, los investigadores de Cisco Talos descubrieron ataques de AridViper contra activistas asociados con el Conflicto Israel-Palestina. El jueves, el equipo de investigación Nocturnus de Cybereason publicó nuevos hallazgos sobre las últimas actividades de la APT. Apodada "Operación Barbie barbuda", la última campaña se dirige a individuos israelíes "elegidos cuidadosamente" para comprometer sus PC y dispositivos móviles, espiar sus actividades y robar datos confidenciales.
Los investigadores dicen que el grupo APT-C-23, junto con MoleRAT, son subconjuntos de APT de la división de guerra cibernética de Hamas y están trabajando para beneficiar al grupo político palestino. Las víctimas de la operación incluyen personas que trabajan en los sectores de defensa, aplicación de la ley y servicios de emergencia de Israel. Según Cybereason, el primer paso en los ataques APT-C-23 se basa en la ingeniería social: después de realizar un reconocimiento a una víctima, el grupo crea cuentas de redes sociales de Facebook falsas, se pone en contacto e intenta atraer al objetivo para que descargue aplicaciones de mensajes troyanos.
En algunos casos, los perfiles de bagre se crean para que parezcan mujeres jóvenes. Los chats pasan de Facebook a WhatsApp y, desde allí, el bagre sugiere un servicio de mensajería más "discreto". Otro vector de ataque es el atractivo de un video sexual empaquetado en un archivo malicioso .
RAR. La APT también ha mejorado su armamento cibernético. En particular, vale la pena explorar dos nuevas herramientas, Barb(ie) Downloader y BarbWire Backdoor, y una nueva variante de implante, VolatileVenom.
Barb(ie) Downloader se entrega a través del video señuelo y se usa para instalar la puerta trasera BarbWire. El malware realizará varias comprobaciones antianálisis, incluido un análisis de máquinas virtuales (VM) o la presencia de sandboxes, antes de continuar con la instalación de la puerta trasera. Barb(ie) también recopilará información básica del sistema operativo y la enviará al servidor de comando y control (C2) del atacante.
BarbWire Backdoor se describe como una cepa de malware "muy capaz" con altos niveles de ofuscación logrados a través del cifrado de cadenas, hash de API y protección de procesos. BarbWire realiza varias funciones de vigilancia, incluido el registro de teclas, la captura de pantalla y la escucha y grabación de audio. Además, la variante de malware puede mantener la persistencia en un dispositivo infectado, programar tareas, cifrar contenido, descargar cargas de malware adicionales y filtrar datos.
La puerta trasera buscará específicamente documentos de Microsoft Office, archivos .PDF, archivos, imágenes y videos en la máquina comprometida y en cualquier unidad externa conectada. Cybereason también detectó nuevas variantes de VolatileVenom.
VolatileVenom es un malware de Android que se sirve durante la instalación de la aplicación de mensajería 'discreta' y ha sido diseñado para realizar vigilancia y robo. VolatileVenom puede comprometer las funciones de audio y micrófono de un dispositivo Android, grabar llamadas y pruebas realizadas a través de WhatsApp, leer notificaciones de WhatsApp, Facebook, Telegram, Instagram, Skype, IMO y Viber; lea listas de contactos y robe información, incluidos mensajes SMS, archivos y credenciales de aplicaciones. Además, el malware puede extraer registros de llamadas, usar la cámara para tomar fotos, alterar las conexiones WiFi y descargar archivos al dispositivo.
"El 'estrecho control' sobre sus objetivos da fe de lo importante y sensible que fue esta campaña para los actores de amenazas", comentó Cybereason. "Esta campaña muestra un avance considerable en las capacidades de APT-C-23, con sigilo mejorado, malware más sofisticado y la perfección de sus técnicas de ingeniería social que involucran capacidades HUMINT ofensivas utilizando una red muy activa y bien organizada de cuentas falsas de Facebook. que han demostrado ser bastante efectivos para el grupo". ¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o en Keybase: charlie0.