Cedro libanés APT

El grupo de hackers de Hezbollah se dirigió a las telecomunicaciones, el alojamiento y los ISP de todo el mundo

Un «grupo de atacantes persistentes» con supuestos vínculos con Hezbollah ha rediseñado su arsenal de malware con una nueva versión de un troyano de acceso remoto (RAT) para ingresar a empresas de todo el mundo y extraer información valiosa.

en un nuevo reporte publicado por el equipo de investigación de ClearSky el jueves, la firma israelí de ciberseguridad dijo que identificó al menos 250 servidores web públicos desde principios de 2020 que han sido pirateados por el actor de amenazas para recopilar inteligencia y robar las bases de datos de la compañía.

Las intrusiones orquestadas afectaron a una gran cantidad de empresas ubicadas en los EE. UU., El Reino Unido, Egipto, Jordania, el Líbano, Arabia Saudita, Israel y la Autoridad Palestina, y la mayoría de las víctimas representaban a operadores de telecomunicaciones (Etisalat, Mobily, Vodafone Egypt). proveedores de servicios de Internet (SaudiNet, TE Data) y proveedores de servicios de alojamiento e infraestructura (Secured Servers LLC, iomart).

Documentado por primera vez en 2015, Cedro volátil (o cedro libanés) ha penetrado una gran cantidad de objetivos utilizando varias técnicas de ataque, incluido un implante de malware hecho a medida con nombre en código Explosivo.

Anteriormente se sospechaba que Volatile Cedar era de origen libanés, específicamente la unidad cibernética de Hezbollah, en relación con una campaña de ciberespionaje en 2015 que tenía como objetivo proveedores militares, empresas de telecomunicaciones, medios de comunicación y universidades.

Cedro libanés APT

Los ataques de 2020 no fueron diferentes. La actividad de piratería descubierta por ClearSky coincidió con las operaciones atribuidas a Hezbollah basadas en superposiciones de código entre las variantes de 2015 y 2020 de Explosive RAT, que se implementa en las redes de las víctimas mediante la explotación de vulnerabilidades conocidas de 1 día en servidores web Oracle y Atlassian sin parches.

Usando las tres fallas en los servidores (CVE-2019-3396, CVE-2019-11581 y CVE-2012-3152) como un vector de ataque para ganar un punto de apoyo inicial, los atacantes luego inyectaron un shell web y un Navegador de archivos JSP, los cuales se utilizaron para moverse lateralmente a través de la red, buscar malware adicional y descargar Explosive RAT, que viene con capacidades para registrar pulsaciones de teclas, capturar capturas de pantalla y ejecutar comandos arbitrarios.

«El shell web se utiliza para llevar a cabo varias operaciones de espionaje en el servidor web atacado, incluida la ubicación de activos potenciales para futuros ataques, la configuración del servidor de instalación de archivos y más», señalaron los investigadores, pero no antes de obtener privilegios escalonados para llevar a cabo las tareas y Transmita los resultados a un servidor de comando y control (C2).

En los cinco años transcurridos desde que se vio por primera vez el RAT explosivo, ClearSky dijo que se agregaron nuevas funciones anti-depuración al implante en su última iteración (V4), con las comunicaciones entre la máquina comprometida y el servidor C2 ahora encriptadas.

Si bien no es sorprendente que los actores de amenazas mantengan un perfil bajo, el hecho de que el cedro libanés haya logrado permanecer oculto desde 2015 sin llamar la atención en absoluto implica que el grupo puede haber cesado sus operaciones durante períodos prolongados para evitar la detección.

ClearSky señaló que el uso del shell web por parte del grupo como su principal herramienta de piratería podría haber sido fundamental para llevar a los investigadores a un «callejón sin salida en términos de atribución».

«El cedro libanés ha cambiado su enfoque significativamente. Inicialmente atacaron computadoras como un punto inicial de acceso, luego progresaron a la red de la víctima y luego progresaron más (sic) para apuntar a servidores web vulnerables y públicos», agregaron los investigadores.

Escrito por Òscar Lombio

Siempre a la última. Cualquier noticia que esté relacionada con gadgets, tecnología o grandes corporaciones, ahí está el, al pie del cañón para informarnos

Loading…

0
Cedro libanés APT
El grupo de hackers de Hezbollah se dirigió a las telecomunicaciones, el alojamiento y los ISP de todo el mundo
Sandbox de Apple BlastDoor
Google descubre una nueva función de seguridad de iOS que Apple agregó silenciosamente después de los ataques de día cero