APT42

APT42: cibercriminales patrocinados por IRAN, se hacen pasar por periodistas

El grupo APT42 utiliza técnicas avanzadas de ingeniería social para infiltrarse en redes objetivo, advierte Mandiant

El grupo de piratería respaldado por el estado iraní conocido como APT42 ha desplegado una serie de estrategias mejoradas de ingeniería social con el fin de penetrar en redes objetivo y entornos de nube, según un informe reciente publicado por Mandiant, una filial de Google Cloud.

APT42
APT42

Los objetivos de estos ataques abarcan una amplia gama de sectores, incluyendo ONG occidentales y de Medio Oriente, organizaciones de medios, académicos, servicios legales y activistas.

Esta diversidad de objetivos refleja la naturaleza indiscriminada de las amenazas cibernéticas perpetradas por grupos como APT35 y APT42, que buscan obtener información sensible o influir en distintos ámbitos sociales, políticos y económicos.

Desde organizaciones sin fines de lucro hasta entidades gubernamentales, pasando por medios de comunicación y figuras prominentes en diferentes campos, ninguna industria o sector está exenta de ser blanco de estos ataques.

Por lo tanto, es crucial que todas las organizaciones, independientemente de su naturaleza o tamaño, estén preparadas y adopten medidas proactivas para protegerse contra estas amenazas cibernéticas cada vez más sofisticadas y omnipresentes.

Este informe destaca la continua sofisticación y persistencia del grupo APT42 en sus operaciones cibernéticas, lo que representa una amenaza significativa para la seguridad de datos y la integridad de sistemas críticos en múltiples regiones.

La ingeniería social, una técnica que involucra la manipulación psicológica de individuos con el fin de obtener información confidencial o acceso no autorizado a sistemas, ha sido utilizada durante mucho tiempo por los actores de amenazas cibernéticas para facilitar intrusiones exitosas.

Esta estrategia se basa en la explotación de la confianza, el miedo, la curiosidad o la urgencia de las personas para persuadirlos a revelar información sensible o realizar acciones que comprometan la seguridad de una organización.

Es importante destacar que la ingeniería social puede manifestarse en diversas formas, como el phishing, el pretexting, la suplantación de identidad y la ingeniería social inversa, y puede ser empleada tanto de manera individual como parte de un ataque más complejo y coordinado.

Por lo tanto, comprender y estar alerta ante estas tácticas es fundamental para protegerse contra las amenazas cibernéticas que emplean la ingeniería social como parte de su arsenal.

En el caso de APT42, Mandiant señala que el grupo ha refinado y adaptado estas técnicas para aumentar la efectividad de sus ataques, lo que resulta en una mayor capacidad para sortear las defensas de seguridad tradicionales.

El informe de Mandiant destaca la importancia de la vigilancia continua y la implementación de medidas proactivas de seguridad cibernética para mitigar el riesgo de ser blanco de ataques de APT42 y otros grupos similares.

Esto incluye la capacitación del personal en la detección de técnicas de ingeniería social, el fortalecimiento de políticas de acceso y autenticación, y la implementación de soluciones de seguridad avanzadas que puedan identificar y neutralizar amenazas en tiempo real.

En un panorama de amenazas cibernéticas en constante evolución, la colaboración entre organizaciones públicas y privadas, así como el intercambio de información y mejores prácticas de seguridad, son fundamentales para defenderse contra actores maliciosos como APT42.

Al aumentar la conciencia sobre estas amenazas y fortalecer las defensas cibernéticas, podemos reducir significativamente el impacto y la frecuencia de los ataques cibernéticos sofisticados.

APT42 Utiliza Identidades Falsas y Tácticas de Ingeniería Social para Facilitar sus Operaciones Cibernéticas, revela Mandiant

La compañía de seguridad cibernética Mandiant ha informado que el grupo de piratería conocido como APT42 ha sido detectado empleando una variedad de estrategias de ingeniería social, incluyendo la suplantación de identidad como periodistas y organizadores de eventos, para establecer relaciones de confianza con sus víctimas.

Estas tácticas se utilizan como medio para enviar correos electrónicos y mensajes continuos, aparentemente legítimos, con invitaciones a conferencias u otros documentos, con el fin de engañar a los destinatarios y obtener acceso a sus sistemas.

APT42
APT42

“Se observó a APT42 haciéndose pasar por periodistas y organizadores de eventos para generar confianza con sus víctimas a través de correspondencia continua y para entregar invitaciones a conferencias o documentos legítimos”, dijo la compañía.

El éxito de estos esquemas de ingeniería social ha permitido a APT42 recopilar credenciales de acceso y utilizarlas para infiltrarse inicialmente en entornos de nube.

Una vez dentro, el grupo exfiltra de manera encubierta datos de interés estratégico para Irán.

Además, para evadir la detección, confían en funciones integradas y herramientas de código abierto disponibles, lo que aumenta la complejidad y sofisticación de sus operaciones.

APT42, también conocido como Damselfly y UNC788, fue documentado por primera vez por Mandiant en septiembre de 2022.

Se trata de un grupo de ciberespionaje respaldado por el estado iraní, encargado de llevar a cabo operaciones de vigilancia y recopilación de información contra individuos y organizaciones de interés estratégico para el gobierno iraní.

La utilización de tácticas de ingeniería social y la habilidad de adaptarse a entornos en constante cambio posicionan a APT42 como una amenaza significativa en el panorama de la ciberseguridad. Para mitigar el riesgo de ser objetivo de sus ataques, es imperativo que las organizaciones refuercen sus medidas de seguridad cibernética.

En primer lugar, resulta fundamental proporcionar formación al personal en la detección de técnicas de phishing y otras formas de manipulación psicológica. Elevar la conciencia sobre estas prácticas fortalece la primera línea de defensa contra intrusiones no autorizadas.

Además, se recomienda encarecidamente implementar soluciones de seguridad avanzadas capaces de identificar y neutralizar potenciales amenazas. Esto implica la adopción de herramientas de detección de anomalías y sistemas de gestión de amenazas que puedan monitorear proactivamente la red en busca de actividades sospechosas.

En resumen, la combinación de formación del personal y la implementación de tecnologías de seguridad sólidas son componentes esenciales para protegerse de manera efectiva contra las amenazas cibernéticas, como las presentadas por APT42.

La inversión en estas áreas puede ayudar a minimizar el riesgo y mantener la integridad de los sistemas y datos de una organización.

En un entorno cibernético cada vez más complejo y peligroso, la colaboración entre actores públicos y privados, así como el intercambio de información y mejores prácticas, se convierten en pilares fundamentales para contrarrestar eficazmente las actividades maliciosas de grupos como APT42.

A través de una mayor conciencia y una respuesta coordinada, podemos robustecer nuestra postura de seguridad y proteger de manera más efectiva nuestros activos críticos contra las amenazas cibernéticas emergentes.

En este contexto, la colaboración entre los sectores público y privado adquiere una importancia crucial. La combinación de recursos, conocimientos y experiencia de ambas partes permite una visión más completa de las amenazas y una respuesta más efectiva ante los ataques cibernéticos. El intercambio de información sobre tácticas, técnicas y procedimientos empleados por grupos como APT42 permite anticipar y neutralizar potenciales amenazas de manera proactiva.

Además, el fomento de una cultura de seguridad cibernética, tanto en el ámbito gubernamental como en el empresarial, resulta esencial para fortalecer nuestras defensas. Esto implica promover la formación y concienciación del personal en buenas prácticas de seguridad, así como la implementación de políticas y procedimientos robustos que reduzcan la superficie de ataque y mitiguen el impacto de posibles brechas de seguridad.

La colaboración y el intercambio de información entre actores públicos y privados son elementos fundamentales para hacer frente a las crecientes amenazas cibernéticas. Al trabajar juntos, podemos fortalecer nuestras defensas y proteger de manera más efectiva nuestros activos críticos en el panorama digital actual.

APT42: Un Subconjunto de APT35 y su Amplio Panorama de Operaciones

En el panorama de amenazas cibernéticas, APT42 emerge como un subconjunto del conocido y ampliamente reconocido grupo de amenazas denominado APT35. Este grupo opera bajo varios alias, entre los que se incluyen CALANQUE, CharmingCypress, Charming Kitten, ITG18, Mint Sandstorm (antes conocido como Phosphorus), Newscaster, TA453 y Yellow Garuda.

APT35, reconocido por su diversidad de alias, es un actor de amenazas cibernéticas con un historial documentado en la realización de operaciones de ciberespionaje y recopilación de información en nombre del Estado iraní. Este grupo ha sido asociado con una amplia gama de actividades maliciosas, desde la infiltración de sistemas gubernamentales hasta la vigilancia de figuras políticas y líderes de opinión.

Dentro del paraguas de APT35, APT42 se destaca como un subgrupo que opera con una cierta autonomía y enfoque particular en sus tácticas y objetivos. Aunque comparten una afinidad ideológica y, posiblemente, recursos y apoyo estatales, APT42 se distingue por su énfasis en la ingeniería social y su capacidad para infiltrarse en redes objetivo utilizando identidades falsas y tácticas de engaño psicológico.

La relación entre APT35 y APT42 sugiere una red de actores de amenazas interconectados y altamente sofisticados, con la capacidad de adaptarse y evolucionar en respuesta a los cambios en el panorama de la ciberseguridad. Esta interconexión también subraya la importancia de comprender la complejidad de las operaciones cibernéticas respaldadas por estados nacionales y la necesidad de una respuesta coordinada y colaborativa para mitigar eficazmente estas amenazas.

La variedad de alias utilizados por APT35 evidencia su capacidad para adaptarse y ocultarse, lo que complica su identificación y atribución.

Esta diversificación de identidades resalta la importancia de mantener una vigilancia constante y disponer de inteligencia de amenazas actualizada para detectar y enfrentar las acciones tanto de APT35 como de sus subgrupos, como APT42.

APT42
APT42

Es decir, necesitamos estar atentos y contar con información actualizada sobre las tácticas, técnicas y procedimientos empleados por estos actores para poder prevenir y responder efectivamente a sus actividades cibernéticas.

En última instancia, la comprensión de la relación entre APT35 y APT42 es fundamental para desarrollar estrategias efectivas de defensa cibernética y promover la colaboración entre actores públicos y privados en la lucha contra las amenazas cibernéticas respaldadas por estados nacionales. Solo a través de una respuesta unificada y proactiva podemos salvaguardar la seguridad de nuestras redes y sistemas críticos en un entorno digital cada vez más complejo y peligroso.

La seguridad cibernética

Ambos grupos están afiliados al Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI), pero operan con un conjunto diferente de objetivos.

Mientras que Charming Kitten se centra más en operaciones a largo plazo con uso intensivo de malware dirigidas a organizaciones y empresas de EE. UU. y Oriente Medio para robar datos. APT42, por el contrario, apunta a individuos y organizaciones específicas a las que el régimen tiene en mente con fines de política interna, política exterior y estabilidad del régimen.

A principios de enero, Microsoft atribuyó al actor Charming Kitten a campañas de phishing dirigidas a personas de alto perfil que trabajan en asuntos de Oriente Medio en universidades y organizaciones de investigación en Bélgica, Francia, Gaza, Israel, el Reino Unido y Estados Unidos desde noviembre de 2023.

Campañas de ciberespionaje
Se sabe que los ataques organizados por el grupo implican extensas operaciones de recolección de credenciales para recopilar credenciales de Microsoft, Yahoo y Google a través de correos electrónicos de phishing que contienen enlaces maliciosos para atraer documentos que redirigen a los destinatarios a una página de inicio de sesión falsa.

En estas campañas, se ha observado que el adversario envía correos electrónicos desde dominios que tipifican las entidades originales y se hacen pasar por medios de comunicación; servicios legítimos como Dropbox, Google Meet, LinkedIn y YouTube; y demonios de correo y herramientas de acortamiento de URL.

Los ataques de apropiación de credenciales se complementan con actividades de exfiltración de datos dirigidas a la infraestructura de nube pública de las víctimas para obtener documentos que son de interés para Irán, pero sólo después de ganarse su confianza, algo en lo que Charming Kitten está bien versado .

Campañas de Ciberespionaje de APT42: Tácticas y Malware Asociado

Las operaciones de ciberespionaje llevadas a cabo por APT42 han sido identificadas como estratégicas y altamente sofisticadas, con un enfoque particular en el uso de ingeniería social para obtener acceso inicial a las redes de las víctimas. Según Mandiant, estas operaciones a menudo involucran una correspondencia continua con las víctimas para generar confianza antes de la adquisición de credenciales y la omisión de la autenticación multifactor (MFA).

Un aspecto notable de estas campañas es el uso de esquemas de ingeniería social mejorados que apuntan específicamente a la omisión de la autenticación multifactor. Esto se logra mediante la creación de un sitio web clonado que captura el token MFA, seguido por el envío exitoso de notificaciones push de MFA a la víctima. Esta técnica demuestra un alto nivel de planificación y conocimiento de las prácticas de seguridad implementadas por las organizaciones objetivo.

Para ocultar sus huellas y confundir la detección, APT42 confía en herramientas disponibles públicamente, lo que les permite evadir la detección y eludir las defensas de seguridad tradicionales. Además, utilizan tácticas de engaño como la extracción de archivos a una cuenta de OneDrive, haciéndose pasar por la organización de la víctima, y aprovechan servicios VPN e infraestructura anónima para interactuar con el entorno comprometido.

En cuanto a las familias de malware asociadas con APT42, Mandiant no ha proporcionado detalles específicos en su informe más reciente. Sin embargo, es probable que el grupo utilice una variedad de herramientas y técnicas de malware para llevar a cabo sus operaciones de ciberespionaje, adaptándose continuamente para evadir la detección y mantener su acceso a largo plazo en las redes de las víctimas.

En resumen, las campañas de ciberespionaje de APT42 son un recordatorio del nivel de sofisticación y persistencia de los actores de amenazas respaldados por estados nacionales. La combinación de ingeniería social avanzada, técnicas de evasión de seguridad y el uso de malware especializado hacen de APT42 una amenaza significativa para la seguridad cibernética global. La detección temprana, la respuesta rápida y la colaboración entre sectores son fundamentales para mitigar el riesgo y proteger las redes y los sistemas críticos contra tales amenazas.

La seguridad cibernética

APT42 también emplea dos puertas traseras personalizadas que sirven como punto de partida para la implementación de malware adicional o la ejecución de comandos de forma manual en el dispositivo:

NICECURL (también conocida como BASICSTAR): una puerta trasera escrita en VBScript que tiene la capacidad de descargar módulos adicionales para su ejecución, incluyendo la extracción de datos y la ejecución de comandos arbitrarios.
TAMECAT: un punto de apoyo de PowerShell que puede ejecutar contenido arbitrario en PowerShell o C#.
Es importante destacar que NICECURL fue previamente analizada por la empresa de ciberseguridad Volexity en febrero de 2024 en relación con una serie de ciberataques dirigidos a expertos en políticas de Oriente Medio.

“Mandiant concluyó que, a pesar de la guerra entre Israel y Hamas, APT42 se ha mantenido relativamente enfocada en la recopilación de inteligencia y en atacar a víctimas similares. Este enfoque contrasta con otros actores del nexo con Irán, que han adaptado sus tácticas realizando actividades disruptivas, destructivas y de piratería y filtración”.

“Los métodos implementados por APT42 dejan una huella mínima y podrían dificultar la detección y mitigación de sus actividades para los defensores de la red”.

 

Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre ciberseguridad

Protección de datos 2024: en múltiples nubes y los avances de la IA

Acceso a la red 2024: Zero Trust y microsegmentación juntas

DuneQuixote: espionaje del siglo 21

Fortinet Accelerate 2024

SOC Automation Capability Matrix (SOC ACM): Revolucionando la Ciberseguridad 2024

Scroll al inicio