Los piratas informáticos APT-C-23 están engañando a los funcionarios israelíes



Funcionarios israelíes de alto rango están siendo atrapados en una nueva campaña de ciberespionaje lanzada por APT-C-23. AridViper, también conocido como APT-C-23, Desert Falcon y Two-tailed Scorpion, es un grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) impulsado políticamente y activo en Oriente Medio. En el pasado, AridViper ha llevado a cabo ataques de phishing dirigido contra establecimientos policiales, militares y educativos palestinos, así como contra la Agencia de Seguridad de Israel (ISA).
En febrero, los investigadores de Cisco Talos descubrieron ataques de AridViper contra activistas asociados con el Conflicto Israel-Palestina. El jueves, el equipo de investigación Nocturnus de Cybereason publicó nuevos hallazgos sobre las últimas actividades de la APT. Apodada "Operación Barbie barbuda", la última campaña se dirige a individuos israelíes "elegidos cuidadosamente" para comprometer sus PC y dispositivos móviles, espiar sus actividades y robar datos confidenciales.
Los investigadores dicen que el grupo APT-C-23, junto con MoleRAT, son subconjuntos de APT de la división de guerra cibernética de Hamas y están trabajando para beneficiar al grupo político palestino. Las víctimas de la operación incluyen personas que trabajan en los sectores de defensa, aplicación de la ley y servicios de emergencia de Israel. Según Cybereason, el primer paso en los ataques APT-C-23 se basa en la ingeniería social: después de realizar un reconocimiento a una víctima, el grupo crea cuentas de redes sociales de Facebook falsas, se pone en contacto e intenta atraer al objetivo para que descargue aplicaciones de mensajes troyanos.
En algunos casos, los perfiles de bagre se crean para que parezcan mujeres jóvenes. Los chats pasan de Facebook a WhatsApp y, desde allí, el bagre sugiere un servicio de mensajería más "discreto". Otro vector de ataque es el atractivo de un video sexual empaquetado en un archivo malicioso .
RAR. La APT también ha mejorado su armamento cibernético. En particular, vale la pena explorar dos nuevas herramientas, Barb(ie) Downloader y BarbWire Backdoor, y una nueva variante de implante, VolatileVenom.
Barb(ie) Downloader se entrega a través del video señuelo y se usa para instalar la puerta trasera BarbWire. El malware realizará varias comprobaciones antianálisis, incluido un análisis de máquinas virtuales (VM) o la presencia de sandboxes, antes de continuar con la instalación de la puerta trasera. Barb(ie) también recopilará información básica del sistema operativo y la enviará al servidor de comando y control (C2) del atacante.
BarbWire Backdoor se describe como una cepa de malware "muy capaz" con altos niveles de ofuscación logrados a través del cifrado de cadenas, hash de API y protección de procesos. BarbWire realiza varias funciones de vigilancia, incluido el registro de teclas, la captura de pantalla y la escucha y grabación de audio. Además, la variante de malware puede mantener la persistencia en un dispositivo infectado, programar tareas, cifrar contenido, descargar cargas de malware adicionales y filtrar datos.
La puerta trasera buscará específicamente documentos de Microsoft Office, archivos .PDF, archivos, imágenes y videos en la máquina comprometida y en cualquier unidad externa conectada. Cybereason también detectó nuevas variantes de VolatileVenom.
VolatileVenom es un malware de Android que se sirve durante la instalación de la aplicación de mensajería 'discreta' y ha sido diseñado para realizar vigilancia y robo. VolatileVenom puede comprometer las funciones de audio y micrófono de un dispositivo Android, grabar llamadas y pruebas realizadas a través de WhatsApp, leer notificaciones de WhatsApp, Facebook, Telegram, Instagram, Skype, IMO y Viber; lea listas de contactos y robe información, incluidos mensajes SMS, archivos y credenciales de aplicaciones. Además, el malware puede extraer registros de llamadas, usar la cámara para tomar fotos, alterar las conexiones WiFi y descargar archivos al dispositivo.
"El 'estrecho control' sobre sus objetivos da fe de lo importante y sensible que fue esta campaña para los actores de amenazas", comentó Cybereason. "Esta campaña muestra un avance considerable en las capacidades de APT-C-23, con sigilo mejorado, malware más sofisticado y la perfección de sus técnicas de ingeniería social que involucran capacidades HUMINT ofensivas utilizando una red muy activa y bien organizada de cuentas falsas de Facebook. que han demostrado ser bastante efectivos para el grupo". ¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o en Keybase: charlie0.

Yorumlar

Bu blogdaki popüler yayınlar

El panorama del ransomware está más abarrotado de lo que cree

Finalmente hay una manera de eliminar xHelper, el malware de Android inamovible

Google detalla el software espía comercial que se dirige a dispositivos Android e iOS