CIBERSEGURIDAD

Chafer Cyberespionage Group apunta a embajadas con software espía Homebrew actualizado.

0 60 3 minutos de lectura

Los investigadores de Kaspersky Lab han detectado múltiples intentos de infectar entidades diplomáticas extranjeras en Irán con software espía casero. Los ataques parecen estar utilizando una puerta trasera Remexi actualizada. También se utilizaron varias herramientas legítimas durante la campaña. La puerta trasera de Remexi está vinculada a un presunto grupo de ciberespionaje de habla farsi conocido como Chafer, anteriormente asociado con la cibervigilancia de personas en el Medio Oriente. La selección de embajadas podría sugerir un nuevo enfoque para el grupo.



La operación destaca cómo los actores de amenazas en regiones emergentes están organizando campañas contra objetivos de interés utilizando malware casero relativamente básico combinado con herramientas disponibles públicamente. En este caso, los atacantes utilizaron una versión mejorada de la puerta trasera de Remexi, una herramienta que permite la administración remota de la máquina de la víctima.

Remexi se detectó por primera vez en 2015, siendo utilizado por un grupo de ciberespionaje llamado Chafer para una operación de cibervigilancia dirigida a personas y varias organizaciones en todo el Medio Oriente. El hecho de que la puerta trasera utilizada en la nueva campaña tenga similitudes de código con muestras conocidas de Remexi, combinado con el conjunto de víctimas objetivo, significa que los investigadores de Kaspersky Lab lo han vinculado a Chafer con una confianza media.

El malware Remexi recién descubierto puede ejecutar comandos de forma remota y capturar capturas de pantalla, datos del navegador, incluidas las credenciales de usuario, los datos de inicio de sesión y el historial, y cualquier texto escrito, entre otras cosas. Los datos robados se extraen mediante la aplicación legítima del Servicio de transferencia inteligente en segundo plano (BITS) de Microsoft, un componente de Windows diseñado para habilitar actualizaciones de Windows en segundo plano. La tendencia a combinar malware con código legítimo o apropiado ayuda a los atacantes a ahorrar tiempo y recursos al crear malware y a complicar la atribución.

“Cuando hablamos de posibles campañas de ciberespionaje patrocinadas por el estado, la gente suele imaginar operaciones avanzadas con herramientas complejas desarrolladas por expertos. Sin embargo, las personas detrás de esta campaña de software espía se parecen más a administradores de sistemas que a actores de amenazas sofisticados: saben cómo codificar, pero su campaña se basa más en el uso creativo de herramientas que ya existen, que en funciones nuevas y avanzadas o en una arquitectura elaborada del software. código. Sin embargo, incluso las herramientas relativamente simples pueden causar un daño significativo, por lo que instamos a las organizaciones a proteger su valiosa información y sistemas contra todos los niveles de amenazas y a utilizar la inteligencia de amenazas para comprender cómo está evolucionando el panorama ”, dijo Denis Legezo, investigador de seguridad de Kaspersky. Laboratorio.

Los productos de Kaspersky Lab detectan el malware Remexi actualizado como Trojan.Win32.Remexi y Trojan.Win32.Agent.

Para obtener más información sobre los servicios de inteligencia de amenazas de Kaspersky Lab, comuníquese con: [email protected]

Para protegerse del software espía dirigido:

· Utilice una solución de seguridad de grado corporativo comprobada con capacidades anti-ataques dirigidos e inteligencia de amenazas, como la solución Kaspersky Threat Management and Defense. Es capaz de detectar y detectar ataques dirigidos avanzados analizando las anomalías de la red y brindando a los equipos de ciberseguridad una visibilidad completa de la red y la automatización de la respuesta.

· Introducir iniciativas de concienciación sobre seguridad que permitan a los empleados dominar la habilidad de identificar mensajes sospechosos. El correo electrónico es un punto de entrada común para un ataque dirigido, y los clientes de Kaspersky Lab se beneficiarían de Kaspersky Security Awareness Training.

· Proporcione a su equipo de seguridad acceso a datos de inteligencia de amenazas actualizados, para mantenerse al día con las últimas tácticas y herramientas utilizadas por los ciberdelincuentes y mejorar los controles de seguridad que ya están en uso.

Lea la versión completa del informe en Securelist.com.

Acerca de Kaspersky Lab

Kaspersky Lab es una empresa global de ciberseguridad que opera en el mercado desde hace más de 21 años. La profunda experiencia en seguridad e inteligencia de amenazas de Kaspersky Lab se transforma constantemente en soluciones y servicios de seguridad de próxima generación para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la compañía incluye protección de endpoints líder y una serie de soluciones y servicios de seguridad especializados para combatir amenazas digitales sofisticadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky Lab y ayudamos a 270.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.com.

Publicaciones relacionadas

Rusia aumentará la actividad cibernética contra Reino Unido

El estudio internacional de ransomware Malwarebytes revela que el Reino Unido es más probable que pague el rescate

Actualizaciones de canal: One Identity amplía el impulso del canal a medida que se acelera la demanda de seguridad centrada en la identidad

Aumentan los ataques de malware móvil

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar