Cybereason descubre una nueva campaña de ciberespionaje Antivirus Ciberprotección Ciberseguridad 7 octubre, 20217 octubre, 2021 Cybereason desvela una campaña de ciberespionaje patrocinada por Irán que tiene como objetivo multinacionales aeroespaciales y de telecomunicaciones Los ataques altamente dirigidos del nuevo actor de amenazas iraní MalKamak incluyen un malware recién descubierto que elude las herramientas de seguridad desde 2018 y ataca los servicios de Dropbox para tomar el control Cybereason, compañía líder en protección contra ataques, ha publicado un nuevo informe sobre amenazas que desenmascara una operación de ciberespionaje altamente dirigida a multinacionales del sector aeroespacial y de telecomunicaciones. El informe identifica como autor de los ataques a un actor iraní recientemente descubierto, apodado MalKamak, que ha estado operando desde al menos 2018 y hasta hoy era desconocido. La campaña de ciberespionaje, aún activa, aprovecha un troyano de acceso remoto (RAT) muy sofisticado y no descubierto previamente, apodado ShellClient, que evade las herramientas antivirus y otros dispositivos de seguridad y ataca los servicios de nube pública de Dropbox para lograr el comando y control (C2). El informe, titulado Operación GhostShell: nuevo virus RAT ataca a empresas multinacionales del sector Aeroespacial y de Telecomunicaciones, detalla los ataques ocultos contra empresas de Europa, Estados Unidos, Oriente Medio y Rusia. La investigación revela posibles conexiones con varios actores de amenazas patrocinadas por el Estado iraní, como Chafer APT (APT39) y Agrius APT. Este informe llega tras la publicación en agosto del estudio DeadRinger de Cybereason, que descubrió de forma similar múltiples campañas APT chinas dirigidas a proveedores de telecomunicaciones. Las revelaciones clave del informe Operación GhostShell incluyen: Descubrimiento de un nuevo grupo de cibercriminales: los equipos Nocturnus y de Respuesta a Incidentes de Cybereason han identificado un nuevo grupo de amenazas patrocinado por el estado iraní y no descubierto hasta el momento, denominado MalKamak. Descubrimiento del troyano de acceso remoto (RAT) ShellClient: los equipos Nocturnus y de Respuesta a Incidentes de Cybereason han identificado un sofisticado troyano de acceso remoto (RAT) no documentado previamente, apodado ShellClient, utilizado para operaciones de ciberespionaje altamente dirigidas. Dirigido a empresas aeroespaciales y de telecomunicaciones: los ataques se han detectado predominantemente en la región de Oriente Medio, pero también se extienden a Estados Unidos, Rusia y Europa. Ataques continuos desde 2018: el troyano GhostClient se puso en funcionamiento por primera vez en 2018 y ha estado en continuo desarrollo, añadiendo mejoras con cada nueva versión para mantenerse oculto, ya que los ataques han continuado al menos hasta septiembre de 2021. Ataque a servicios en la nube para C2: se ha observado que las versiones más recientes de ShellClient explotaban las debilidades de los servicios de almacenamiento basados en la nube para su Comando y Control (C2), en este caso del popular servicio Dropbox, con el objetivo de que los ataques no fueran detectados al mezclarse con el tráfico de red legítimo. Diseñado para mantenerse oculto: los autores de ShellClient han invertido mucho esfuerzo para evitar la detección de los antivirus y otras herramientas de seguridad. El ataque utiliza múltiples técnicas de confusión y ataca un cliente de Dropbox para el comando y control (C2), lo que lo hace muy difícil de detectar. Posibles conexiones de APT iraníes: la investigación establece interesantes conexiones con varios actores de amenazas patrocinadas por Irán, incluyendo Chafer APT (APT39) y Agrius APT. Mediante el uso del troyano ShellClient, el actor de la amenaza también desplegó herramientas de ataque adicionales para realizar varias actividades de espionaje en las redes objetivo, incluyendo reconocimiento, movimiento lateral en el entorno y la recolección y extracción de datos sensibles. Se considera que la operación GhostShell está dirigida por un agente de amenazas patrocinado por el Estado de Irán, o una amenaza persistente avanzada (APT). “La Operación GhostShell ha revelado un complejo ataque troyano de acceso remoto (RAT) capaz de evitar la detección manteniéndose oculto desde el año 2018, y DeadRinger descubrió una amenaza similar que operaba en silencio desde 2017, lo que nos dice mucho sobre cómo los atacantes avanzados están derrotando continuamente las soluciones de seguridad», ha señalado el CEO y cofundador de Cybereason, Lior Div. «La superposición de herramientas para producir aún más alertas que abruman a los defensores no nos está ayudando a detener los ataques sofisticados, por lo que Cybereason adopta un enfoque centrado en la operación que detecta los ataques en base a cadenas de comportamiento muy sutiles donde las propias acciones del adversario trabajan en su contra para revelar el ataque en las primeras etapas.» Acerca de Cybereason Cybereason es la solución de los ciberdefensores de hoy en día, proporcionando una protección contra ataques centrada en las operaciones que unifica la seguridad desde el punto de conexión, hasta la empresa, y allí donde se libre la batalla. La plataforma de defensa de Cybereason combina la detección y la respuesta potenciadas por IA (EDR y XDR), el antivirus de última generación (NGAV), la protección contra el ransomware y la caza proactiva de amenazas más importantes del sector para ofrecer un análisis contextual completo de cada elemento de las operaciones malintencionadas. Cybereason es una empresa internacional de capital privado con sede en Boston y clientes en más de 45 países. Más información en: https://www.cybereason.com/ Síganos en: Blog | Twitter | Facebook Compartir en Facebook Compartir Compartir en TwitterTweet Compartir en Pinterest Compartir Compartir en Linkedin Compartir Compartir en Digg Compartir