Los grupos iraníes y de Nexus están vinculados a campañas de pesca de lanza «coordinadas» y «multiwave» dirigidas a embajadas y consulados en Europa y otras regiones de todo el mundo.
La actividad proviene de los operadores junto con Irán relacionado con la gama más amplia de actividad cibernética ofensiva llevada a cabo por la compañía de ciberseguridad israelí Dream.
«Los correos electrónicos fueron enviados a múltiples destinatarios del gobierno en todo el mundo, disfrazados de comunicaciones diplomáticas legítimas», dijo la compañía. «La evidencia apunta a una gama más amplia de espionaje local dirigido a grupos diplomáticos y gubernamentales durante un período de crecientes tensiones geopolíticas».
La cadena de ataque implica el uso de correos electrónicos de phishing de lanza, que incluyen temas relacionados con las tensiones geopolíticas entre Irán e Israel, lo que lleva a los destinatarios a «habilitar el contenido» que realice los conceptos básicos visuales de la aplicación (VBA) responsables de la carga y la administración de malware cuando se abran.
Se envían mensajes de correo electrónico de ensueño por sueño a embajadas, consulados y organizaciones internacionales en el Medio Oriente, África, Europa, Asia y los Estados Unidos, lo que sugiere que las actividades arrojan amplias redes de phishing. Se dice que las embajadas europeas y las organizaciones africanas fueron las más dirigidas.
La misiva digital se envió desde 104 direcciones comprometidas únicas que pertenecen al personal y a las agencias pseudo-gubernamentales, proporcionando una capa adicional de confiabilidad. Al menos algunos de los correos electrónicos provienen de buzones pirateados (*@fm.gov.om) pertenecientes al Ministerio de Relaciones Exteriores de Omán en París.
«El contenido de señuelo utilizó constantemente la práctica común de referirse a comunicaciones urgentes de MFA, comunicar la autoridad y garantizar que las macros tengan acceso al contenido, una característica de actividades de espionaje bien planificadas que son una atribución intencionalmente enmascarada», dijo Dream.
El objetivo final del ataque es usar VBA Macro para implementar un ejecutable que pueda establecer persistencia, contactar a un servidor de comando y control (C2) e información del sistema de cosecha.
La firma de ciberseguridad Clearsky detalló varios aspectos de la campaña más tarde el mes pasado, diciendo que los correos electrónicos de phishing se enviaron a múltiples ministerios extranjeros.
«Los actores de amenaza iraníes utilizaron técnicas de ofuscación similares cuando atacaban a Mojahedin et Kalk de Albania en 2023, señaladas en la publicación de X.
Source link
