Las redes del gobierno iraquí han sido blanco de una sofisticada campaña de ciberataques. El actor de amenazas respaldado por Irán, OilRig, ha dirigido sus ataques hacia organizaciones iraquíes como la Oficina del Primer Ministro y el Ministerio de Asuntos Exteriores.
Las revelaciones de Check Point, una empresa de ciberseguridad, muestran que OilRig, también conocido como APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm, EUROPIUM y Helix Kitten, es un grupo iraní asociado con el Ministerio de Inteligencia y Seguridad de Irán. Este grupo ha estado activo desde 2014 y es conocido por realizar ataques de phishing en Oriente Medio, distribuyendo varios backdoors personalizados para el robo de información.
La última campaña de OilRig involucra el uso de nuevas familias de malware llamadas Veaty y Spearal, las cuales pueden ejecutar comandos PowerShell y recopilar archivos de interés. Check Point reveló que el conjunto de herramientas utilizado en esta campaña emplea mecanismos únicos de comando y control (C2), incluido un protocolo personalizado de túneles DNS y un canal de C2 basado en correo electrónico a medida.
El actor de amenazas se infiltró con éxito en las redes de la víctima y empleó tácticas, técnicas y procedimientos (TTP) consistentes con los utilizados por OilRig en el pasado, como el uso de canales de C2 basados en correo electrónico y el aprovechamiento de casillas de correo previamente comprometidas para emitir comandos y sustraer datos. El modus operandi ha sido común a varios backdoors como Karkoff, MrPerfectionManager y PowerExchange.
La cadena de ataque se inicia a través de archivos engañosos que se hacen pasar por documentos benignos («Avamer.pdf.exe» o «IraqiDoc.docx.rar») que, al ejecutarse, abren paso para el despliegue de Veaty y Spearal. Los archivos inician la ejecución de scripts intermedios de PowerShell o Pyinstaller que, a su vez, dejan caer los ejecutables de malware y sus archivos de configuración basados en XML.
El malware Spearal es un backdoor .NET que utiliza túneles DNS para la comunicación C2, mientras que Veaty aprovecha los correos electrónicos para comunicaciones de C2 con el objetivo final de descargar archivos y ejecutar comandos a través de buzones de correo específicos pertenecientes al dominio gov-iq.net.
Además, Check Point descubrió un archivo de configuración XML diferente que probablemente esté asociado a un tercer backdoor de túneles SSH y un backdoor basado en HTTP llamado CacheHttp.dll, que apunta a los servidores de Servicios de Información de Internet (IIS) de Microsoft y examina las solicitudes web entrantes de eventos «OnGlobalPreBeginRequest» para ejecutar comandos.
Según la empresa de ciberseguridad, esta campaña destaca los esfuerzos sostenidos y enfocados de los actores de amenazas iraníes que operan en la región, empleando el despliegue de un protocolo personalizado de túneles DNS y un canal de C2 basado en correo electrónico que aprovecha cuentas comprometidas.
Vía The Hacker News
