Un grupo benéfico islámico en Arabia Saudita ha sido víctima de un ataque de ciberespionaje que utiliza una puerta trasera no documentada llamada «Zardoor». La campaña de ciberataque, descubierta por Cisco Talos en mayo de 2023, se cree que ha estado activa desde marzo de 2021 y se sospecha que podría haber otras víctimas además del grupo benéfico. Los investigadores descubrieron que el actor utiliza binarios «Living-off-the-land» (LoLBins) para implementar las puertas traseras y mantener el acceso a largo plazo sin atraer la atención. El objetivo del ataque era extraer datos periódicamente cada dos semanas. Todavía es desconocido el vector de acceso inicial utilizado para infiltrar la organización, pero se utilizó la Instrumentación de administración de Windows (WMI) para moverse lateralmente y difundir las herramientas del atacante. La campaña fue detectada por los investigadores, ya que el actor detrás de la operación utiliza herramientas de proxy inverso de código abierto como Fast Reverse Proxy y Venom para establecer conexiones de comando y control (C2).
El actor de amenaza detrás del ataque no comparte ninguna superposición táctica con ninguno de los actor de amenaza conocidos públicamente. Los investigadores evalúan que es el trabajo de un «actor de amenaza avanzado». Con la instalación de la puerta trasera «Zardoor», los actores de amenaza tienen la capacidad de extraer datos, ejecutar ejecutables y eliminar su rastro del host. La biblioteca dinámica maliciosa «oci.dll» se encarga de entregar las dos puertas traseras «zar32.dll» y «zor32.dll». La primera es la puerta trasera central que facilita las comunicaciones de C2, mientras que la segunda asegura que «zar32.dll» se haya implementado con privilegios de administrador.
Aunque se desconoce el vector de acceso inicial utilizado para penetrar en el grupo benéfico, la campaña ilustra la necesidad de implementar medidas de seguridad sólidas y de estar alerta ante los ataques de ciberespionaje.
Vía The Hacker News
