Investigadores de ciberseguridad han descubierto nueva infraestructura de red creada por actores de amenazas iraníes para respaldar actividades vinculadas al reciente ataque a campañas políticas de EE. UU.
El Insikt Group de Recorded Future ha vinculado la infraestructura a un grupo de piratería al que siguen llamando GreenCharlie, un grupo de amenazas cibernéticas de origen iraní que se superpone con APT42, Charming Kitten, Damselfly, Mint Sandstorm (anteriormente conocido como Fósforo), TA453 y Yellow Garuda.
Según la empresa de ciberseguridad, la infraestructura de este grupo está meticulosamente elaborada, utilizando proveedores de DNS dinámico (DDNS) como Dynu, DNSEXIT y Vitalwerks para registrar dominios utilizados en ataques de phishing.
Los dominios a menudo emplean temas engañosos relacionados con servicios en la nube, uso compartido de archivos y visualización de documentos para atraer a objetivos a revelar información sensible o descargar archivos maliciosos.
Además, la mayoría de los dominios se registraron utilizando el dominio de nivel superior (TLD) .info, un cambio respecto de los dominios TLD .xyz, .icu, .network, .online y .site observados anteriormente.
El adversario tiene un historial de llevar a cabo ataques de phishing altamente dirigidos que aprovechan extensas técnicas de ingeniería social para infectar a los usuarios con malware como POWERSTAR (también conocido como CharmPower y GorjolEcho) y GORBLE, una serie de implantes PowerShell en constante evolución desplegados por GreenCharlie a lo largo de los años.
Estos hallazgos se suman a la preocupación existente, ya que se ha descubierto un vínculo directo entre los clústeres de GreenCharlie y los servidores de C2 utilizados por GORBLE. Se cree que las operaciones se facilitan mediante Proton VPN o Proton Mail para ocultar su actividad.
En medio de un aumento de la actividad cibernética maliciosa iraní contra EE. UU. y otros objetivos extranjeros, la divulgación se produce en un momento crucial. A principios de esta semana, Microsoft reveló que múltiples sectores en EE. UU. y Emiratos Árabes Unidos son el objetivo de un actor de amenazas iraní apodado Peach Sandstorm (también conocido como Refined Kitten).
Además, las agencias gubernamentales de EE. UU. dijeron que otra pandilla de piratas informáticos respaldada por el estado iraní, Pioneer Kitten, ha incursionado como corredor de acceso inicial (IAB) para facilitar ataques de ransomware contra sectores de educación, finanzas, cuidado de la salud, defensa y gobierno en EE. UU. en colaboración con las pandillas NoEscape, RansomHouse y BlackCat.
Vía The Hacker News
