Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Hogar
Aug 14, 2023
El APT34 de Irán ataca a los Emiratos Árabes Unidos con un ataque a la cadena de suministro
La amenaza persistente avanzada vinculada a Irán conocida como APT34 está de nuevo en acción, esta vez montando un ataque a la cadena de suministro con el objetivo final de obtener acceso a objetivos gubernamentales dentro de los Emiratos Árabes Unidos.
La amenaza persistente avanzada vinculada a Irán conocida como APT34 está nuevamente en acción, esta vez montando un ataque a la cadena de suministro con el objetivo final de obtener acceso a objetivos gubernamentales dentro de los Emiratos Árabes Unidos (EAU).
Maher Yamout, investigador principal de seguridad del Centro de Investigación EEMEA de Kaspersky, dice que los atacantes utilizaron un formulario de contratación de trabajo de TI malicioso como señuelo. APT34 (también conocido como OilRig) creó un sitio web falso para hacerse pasar por una empresa de TI en los Emiratos Árabes Unidos, envió el formulario de contratación a una empresa de TI objetivo y, cuando la víctima abrió el documento malicioso para presumiblemente postularse para el trabajo de TI anunciado, utilizó malware para robar información. ejecutado.
Yamout dice que el malware recopiló información confidencial y credenciales que permitieron a APT34 acceder a las redes de los clientes de la empresa de TI. Explica que el atacante luego buscó específicamente apuntar a clientes gubernamentales, utilizando la infraestructura de correo electrónico del grupo de TI de la víctima para comunicación de comando y control (C2) y exfiltración de datos. Kaspersky no pudo verificar si los ataques del gobierno tuvieron éxito debido a su limitada visibilidad, pero "evaluamos con una confianza media-alta" que lo fueron, dice Yamout, dada la tasa de éxito típica del grupo.
Según la investigación de Kaspersky, las muestras de malware utilizadas en la campaña de los Emiratos Árabes Unidos se parecían a las utilizadas en una intrusión anterior en la cadena de suministro APT34 en Jordania que utilizó tácticas, técnicas y procedimientos (TTP) similares, incluso dirigidos a entidades gubernamentales. En ese caso, Yamout dice que sospechaba que se utilizó LinkedIn para entregar un formulario de trabajo mientras se hacía pasar por el esfuerzo de contratación de una empresa de TI.
La táctica del reclutador laboral es una táctica que ha sido utilizada por numerosos grupos de ciberataques a lo largo de los años, incluido el grupo Lazarus de Corea del Norte en más de un caso, y ciberatacantes que pretenden ser reclutadores militares.
APT34 es un grupo de amenazas iraní que opera principalmente en el Medio Oriente y apunta a organizaciones en esta región que se encuentran en una variedad de industrias diferentes. Anteriormente se ha relacionado con otras actividades de cibervigilancia, como un ataque a los Emiratos Árabes Unidos a principios de este año.
A menudo lleva a cabo ataques a la cadena de suministro, en los que el grupo amenazante aprovecha la relación de confianza entre organizaciones para atacar sus objetivos principales, apuntando sistemáticamente a organizaciones específicas que parecen haber sido cuidadosamente elegidas con fines estratégicos.
Según una investigación de Mandiant, APT34 ha estado operativo desde al menos 2014, utiliza una combinación de herramientas públicas y no públicas y, a menudo, realiza operaciones de phishing utilizando cuentas comprometidas, a veces junto con tácticas de ingeniería social.
"Evaluamos que APT34 trabaja en nombre del gobierno iraní basándose en detalles de infraestructura que contienen referencias a Irán, el uso de la infraestructura iraní y objetivos que se alinean con los intereses del Estado-nación", señaló Mandiant en su informe. Es una evaluación compartida por el gobierno de Estados Unidos, que sancionó a Irán el año pasado por las actividades de APT34.