FireEye informa de una reciente campaña de Spear Phishing de un grupo de amenazas iraní

Desde enero a marzo de 2018, a través de Dynamic Threat Intelligence de FireEye, se han observado atacantes aprovechando las últimas técnicas de persistencia y ejecución de código para distribuir documentos maliciosos usando macros a personas en Asia y Oriente Medio.

Se atribuye esta actividad a TEMP.Zagros, un actor con nexos con Irán que ha estado activo al menos desde mayo de 2017. Este actor ha estado involucrado en prolíficas campañas de “spear phising” (phising dirigido a un objetivo concreto) de entidades gubernamentales y de la defensa del suroeste y el centro de Asia. Los correos electrónicos de spear phishing y los documentos de macro maliciosos adjuntos contienen normalmente temas geopolíticos. Cuando se ejecutan con éxito, los documentos maliciosos instalan una puerta trasera que detectamos como POWERSTATS.

Una de las observaciones más interesantes durante el análisis de estos archivos fue la reutilización de la última técnica para eludir AppLocker y las técnicas de movimiento lateral con el propósito de ejecutar código indirectamente. La dirección IP en las técnicas de movimiento lateral fue sustituido con la dirección IP de la máquina local para conseguir la ejecución del código en el sistema.

En esta campaña, las tácticas del actor de la amenaza, técnicas y procedimientos cambiaron hace un mes, así como sus objetivos de ataque. En una primera fase, entre el 23 de enero y el 26 de febrero, los países objetivo del ataque fueron Turquía, Pakistán y Tayikistán y en las técnicas de ataque se usaba un script VBS. En una segunda fase, entre el 27 de febrero y el 5 de marzo, los países objetivo del ataque fueron India, Pakistán y Turquía y se usaba una técnica de ataque recientemente descubierta que emplea técnicas de ejecución de código usando archivos INF y SCT.

Pensamos que el vector de infección usado para todos los ataques en esta campaña son documentos basados en macros enviados como un archivo adjunto de correo.

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *