Los piratas informáticos iraníes abusan de Dropbox en ciberataques contra empresas aeroespaciales y de telecomunicaciones

Detalles de una nueva campaña de ciberespionaje dirigida a las industrias aeroespacial y de telecomunicaciones, particularmente en el Medio Oriente, con el objetivo de robar información sensible sobre activos críticos, infraestructura y tecnología de las empresas, permanecer en la oscuridad y hacer que las soluciones de seguridad sean exitosas para eludir.

Cybereason, empresa de ciberseguridad con sede en Boston, llamó a los ataques «Operación Ghostshell“, Que indica el uso de un troyano de acceso remoto (RAT) sigiloso y previamente indocumentado llamado ShellClient, que se utiliza como la principal herramienta de espionaje de elección. Los primeros signos de los ataques se observaron contra un grupo de víctimas cuidadosamente seleccionado en julio de 2021, lo que sugiere un enfoque muy específico.

«ShellClient RAT ha estado en continuo desarrollo desde al menos 2018, con varias iteraciones que introdujeron nuevas funcionalidades sin pasar por alto las herramientas antivirus y lograron permanecer sin ser detectadas y públicamente desconocidas», dijeron los investigadores Tom Fakterman, Daniel Frank, Chen Erlich y Assaf Dahan en un buceo técnico en profundidad lanzado hoy.

Cybereason rastreó las raíces de esta amenaza al menos hasta el 6 de noviembre de 2018; anteriormente operaba como un shell inverso independiente antes de evolucionar hacia una puerta trasera sofisticada, enfatizando que el malware evolucionaba constantemente, agregando nuevas características y capacidades de sus autores. Además, el atacante supuestamente usó un archivo ejecutable desconocido llamado «lsa.exe» para volcar las credenciales detrás de los ataques.

La investigación sobre la atribución de los ciberataques también ha revelado a un actor de amenazas iraní completamente nuevo llamado MalKamak, que ha estado operando aproximadamente al mismo tiempo y, por lo tanto, más allá de la detección y el análisis, con posibles vínculos con otros actores de amenazas APT patrocinados por el gobierno iraní, como Chafer APT (también conocido como APT39) y Agrius APT, el último de los cuales se hizo pasar por un operador de ransomware para encubrir los orígenes de una serie de ataques de eliminación de datos contra empresas israelíes.

Además de resolver y filtrar datos confidenciales, ShellClient está diseñado como un archivo ejecutable portátil modular capaz de realizar operaciones de registro y toma de huellas digitales. También es de destacar el uso indebido por parte de la RAT de los servicios de almacenamiento en la nube como Dropbox para las comunicaciones de comando y control (C2) con el fin de permanecer bajo el radar mezclándose con el tráfico de red legítimo de los sistemas comprometidos.

El almacenamiento de Dropbox contiene tres carpetas, cada una de las cuales almacena información sobre las computadoras infectadas, los comandos que debe ejecutar ShellClient RAT y los resultados de esos comandos. «Cada dos segundos, la computadora de la víctima revisa la carpeta de comandos, recupera archivos que representan comandos, analiza su contenido, luego los elimina de la carpeta remota y les permite ejecutar», dijeron los investigadores.

El modus operandi anterior refleja una táctica de otro actor de amenazas llamado IndigoZebra, que se basa en la API de Dropbox para almacenar comandos en una subcarpeta específica de la víctima que el malware extrae antes de la ejecución.

Los resultados también se producen días después de que se identificara una nueva amenaza persistente avanzada llamada «ChamelGang» detrás de una serie de ataques dirigidos a las industrias de combustible, energía y aviación en Rusia, EE. UU., India, Nepal, Taiwán y Japón, el robo de datos de redes comprometidas. .