Se ha observado a presuntos actores de espionaje iraníes desplegando puertas traseras como TWOSTROKE y DEEPROOT como parte de una campaña en curso dirigida a las industrias aeroespacial, de aviación y de defensa en el Medio Oriente.
Se cree que la actividad se debe a un grupo de amenazas rastreado por Mandiant, propiedad de Google, como UNC1549 (también conocido como Nimbus Manticore o Subtle Snail), y fue documentado por primera vez por la firma de inteligencia de amenazas a principios del año pasado.
Los investigadores Mohamed El Banna, Daniel Lee, Mike Stockel y Josh Goddard dijeron: «UNC1549, que estuvo activo desde finales de 2023 hasta 2025, empleó vectores de acceso inicial sofisticados, incluida la explotación de relaciones con terceros (transición de proveedor de servicios a cliente), ruptura de VDI de terceros y phishing altamente específico relacionado con funciones».
La divulgación se produce casi dos meses después de que la empresa suiza de ciberseguridad PRODAFT vinculara a un grupo de piratas informáticos con una campaña dirigida a empresas de telecomunicaciones europeas como parte de un ataque de ingeniería social con temática de reclutamiento a través de LinkedIn, infiltrándose con éxito en 11 organizaciones en el proceso.
Según Google, la cadena de infección incluye una combinación de campañas de phishing destinadas a robar credenciales y distribuir malware, así como campañas de phishing que aprovechan las relaciones de confianza con proveedores y socios externos. El segundo enfoque ha demostrado ser una estrategia particularmente inteligente cuando se ataca a los contratistas de defensa.
Si bien estas organizaciones tienden a contar con defensas sólidas, es posible que este no sea el caso de los socios externos. UNC1549 utiliza los eslabones débiles de la cadena de suministro como arma para su beneficio al obtener acceso a la primera entidad conectada para infiltrarse en el objetivo principal.
Esto a menudo implica el uso indebido de credenciales asociadas con servicios como Citrix, VMWare y Azure Virtual Desktop and Applications (VDA) recopilados de estas entidades externas para establecer un punto de apoyo inicial y luego romper los límites de la sesión de virtualización para acceder a los sistemas host subyacentes e iniciar la actividad de movimiento lateral dentro de la red de destino.
Otro vector de acceso inicial implica el uso de correos electrónicos de phishing que afirman estar relacionados con oportunidades de empleo, incitando al destinatario a hacer clic en un enlace falso y descargar malware en su máquina. También se ha observado que UNC1549 apunta a administradores y personal de TI en estos ataques para obtener credenciales con privilegios elevados que permitan un acceso más profundo a la red.
Una vez que un atacante encuentra una manera de entrar, las actividades posteriores a la explotación incluyen reconocimiento, recolección de credenciales, movimiento lateral, evasión de defensa y robo de información, con la recopilación sistemática de documentos de red/TI, propiedad intelectual y correos electrónicos.
A continuación se muestran algunas de las herramientas personalizadas utilizadas por los actores de amenazas como parte de este esfuerzo.
MINIBIKE (también conocida como SlugResin) es una conocida puerta trasera de C++ que recopila información del sistema, obtiene cargas útiles adicionales para reconocimiento, registra las pulsaciones de teclas y el contenido del portapapeles, roba credenciales de Microsoft Outlook, recopila datos del navegador web de Google Chrome, Brave, Microsoft Edge y toma capturas de pantalla. LIGHTRAIL, una puerta trasera que admite la ejecución de comandos de shell de Linux, enumeración de información del sistema y manipulación de archivos, un tunelizador personalizado posiblemente basado en Lastenzug, un proxy GHOSTLINE de Socks4a de código abierto que se comunica mediante la infraestructura de la nube de Azure, POLLBLEND, un tunelizador de Windows basado en Golang que utiliza un dominio codificado para la comunicación, se registra mediante un servidor de comando y control (C2) codificado y descarga configuraciones del tunelizador. Tunelizador de Windows C++ DCSYNCER.SLICK, utilidad de Windows CRASHPAD basada en DCSyncer que realiza ataques DCSync para escalar privilegios, utilidad de Windows C++ SIGHTGRAB que extrae las credenciales almacenadas en los navegadores web, utilidad de Windows C++ TRUSTTRAP que se implementa selectivamente para capturar capturas de pantalla periódicamente y guardarlas en el disco, malware que proporciona un mensaje de Windows para engañar a los usuarios para que ingresen las credenciales de su cuenta de Microsoft.
Los atacantes también aprovechan programas públicos como AD Explorer que consultan Active Directory. Atelier Web Remote Commander (AWRC) establece conexiones remotas y realiza reconocimiento, robo de credenciales e implementación de malware. SCCMVNC para control remoto. Además, los atacantes supuestamente tomaron medidas para frustrar la investigación eliminando claves de registro para el historial de conexiones RDP.
«La campaña UNC1549 se caracteriza por centrarse en predecir a los investigadores y garantizar la continuidad a largo plazo después del descubrimiento», dijo Mandiant. «Instalan puertas traseras que emiten señales silenciosas durante meses y solo las activan para recuperar el acceso después de que la víctima ha intentado la erradicación».
«Mantienen el sigilo y el comando y control (C2) utilizando extensos shells SSH inversos (que limitan la evidencia forense) y dominios que imitan estratégicamente la industria de la víctima».
Source link
