Hackers iranianos atacaram israelenses usando técnicas raras de ataque cibernético
27-04-2023 - JP
O novo malware permite que hackers roubem dados do Telegram, façam capturas de tela e gravem sons.
Um grupo de hackers ligado ao Irã conhecido como "Educated Manticore" começou a realizar ataques cibernéticos contra alvos israelenses usando uma nova versão de malware usado por outros hackers iranianos conhecidos, juntamente com outros métodos raramente vistos "na natureza", de acordo com um novo relatório publicado pela empresa israelense de segurança cibernética Check Point na terça-feira.
A nova forma de ataque foi notada pela primeira vez em janeiro, quando duas pessoas com endereços IP israelenses enviaram o arquivo malicioso ao VirusTotal, um banco de dados que rastreia vírus de computador.
O arquivo é um arquivo ISO chamado "Iraq development resources" contendo um grande número de arquivos, incluindo PDFs em árabe, inglês e hebraico contendo conteúdo acadêmico sobre o Iraque. A Check Point observou que isso indica que os alvos podem ter sido pesquisadores acadêmicos .
O arquivo ISO contém três pastas, uma com um Jpeg chamado "zoom.jpg", outra contendo os PDFs e outros arquivos relacionados e outra contendo os mesmos arquivos criptografados. Outro arquivo chamado "Recursos de desenvolvimento do Iraque" tem um símbolo indicando que é uma pasta, mas na verdade é um arquivo executável (.exe) que inicia o malware real quando clicado.
Depois que o arquivo .exe é clicado, ele descriptografa e executa um downloader do arquivo zoom.jpg. O arquivo .exe é preenchido com código indesejado para enganar os usuários e o software antivírus. O downloader também está cheio de código indesejado e baixa malware chamado "PowerLess", que serve como uma porta dos fundos para que os hackers acessem o computador afetado.
A ferramenta PowerLess foi usada pelo cluster de hackers Iranian Mint Sandstorm (também conhecido como Phosphorus, APT35, APT42, Charming Kitten e TA453), mas a versão encontrada no arquivo usado por Educated Manticore foi atualizada para ter novas funcionalidades.
A nova versão do PowerLess inclui código binário .NET aparentemente montado em modo misto (o que significa que contém código .NET e C++), o que melhora a funcionalidade da ferramenta ao mesmo tempo em que a torna mais difícil de detectar.
Enquanto a versão do PowerLess usada pelo Phosphorus era capaz de executar comandos e downloads, matar processos e roubar dados do navegador, a nova versão também pode mostrar uma lista de arquivos e processos, roubar dados do aplicativo de desktop Telegram, tirar screenshots e gravar som.
A Check Point também encontrou dois outros ataques usando arquivos chamados "iraq-project.rar" e "SignedAgreement.zip", que parecem estar relacionados ao ataque de arquivo ISO "Recursos de desenvolvimento do Iraque". Embora os três não tenham uma sobreposição técnica clara, todos têm como tema o Iraque e foram enviados ao VirusTotal pelos mesmos remetentes de Israel. Todos os ataques também usam o mesmo software de código aberto para carregar programas.
Os dois arquivos adicionais parecem ser projetos pessoais do desenvolvedor por trás do ataque e parecem ser inspirados pelo outro ataque.
Por que esse novo grupo se chama Educated Manticore?
A Check Point explicou no novo relatório que nos últimos anos houve dois grupos principais de atividades de ameaças cibernéticas ligadas ao Irã: um dos quais é comumente chamado de Nemesis Kitten, TunnelVision ou Cobalt Mirage e o outro é comumente chamado de APT35, Charming Kitten , ou Fósforo. Os dois clusters formam uma espécie de espectro, compartilhando ferramentas semelhantes, mas visando alvos diferentes de maneiras diferentes.
À medida que a atividade dos clusters evoluiu, tornou-se mais difícil diferenciar os diferentes subgrupos, de acordo com a empresa de segurança cibernética. No caso do Educated Manticore, a Check Point explicou que não tem conhecimento suficiente para colocar a atividade em torno do backdoor PowerLess dentro dos dois clusters e, portanto, decidiu rastreá-lo separadamente com base em uma nova convenção de nomenclatura que adotou.
Sob a nova convenção de nomenclatura, as ameaças serão rotuladas como criaturas míticas, com ameaças alinhadas ao Irã designadas como "mantícoras". Devido à aparente natureza acadêmica dos alvos da campanha mais recente, o ator por trás da nova campanha foi designado como Educated Manticore.
+ Notícias