El grupo de ciberespionaje vinculado a Irán OilRig, también conocido como APT24, HelixKitten y Greenbug, lanzó una nueva campaña de phishing dirigida a organizaciones de la industria de la energía, el petróleo y el gas, junto con entidades gubernamentales. La campaña fue detectada en junio de 2019 por los investigadores de FireEye, quienes dijeron que el grupo estaba usando LinkedIn para entregar nuevo malware. Como parte de los ataques, los ciberdelincuentes se hicieron pasar por un investigador de la Universidad de Cambridge para ganarse la confianza de las víctimas para abrir documentos maliciosos.
El grupo de piratería OilRig está activo desde al menos 2014, principalmente enfocado en organizaciones de los sectores financiero, gubernamental, energético, de telecomunicaciones y químico en el Medio Oriente.
Según un informe reciente de FireEye , APT34 actualizó su conjunto de herramientas con tres nuevas familias de malware rastreadas como TONEDEAF, VALUEVAULT y LONGWATCH. El primero es un backdoor que recopila información del sistema, puede cargar y descargar archivos y puede ejecutar comandos de shell arbitrarios. El backdoor se comunica con un servidor de comando y control (C&C) utilizando las solicitudes HTTP GET y POST. En la campaña reciente, el malware se distribuyó a través de un archivo .xls entregado a través de un mensaje de LinkedIn recibido de alguien que aparentemente trabaja en la Universidad de Cambridge. La hoja de cálculo creó un archivo ejecutable en el sistema local y una tarea programada para ejecutarlo cada minuto.
Fire Eye también detectó otras tres familias de malware que se conectan al mismo dominio (offlineearthquake [.] Com): VALUEVAULT, LONGWATCH y una variante de PICKPOCKET, una conocida herramienta de robo de credenciales del navegador que se vio anteriormente en diferentes campañas de APT24.
VALUEVAULT es una versión compilada por Golang de la herramienta de robo de credenciales del navegador de Windows Vault Password Dumper, mientras que LONGWATCH es un registrador de teclas que genera pulsaciones de teclas en un archivo log.txt en la carpeta temporal de Windows. VALUEVAULT mantiene la misma funcionalidad que la herramienta original al permitir que el operador extraiga y vea las credenciales almacenadas en el Almacén de Windows. Además, VALUEVAULT llamará a Windows PowerShell para extraer el historial del navegador para que coincida con las contraseñas del navegador con los sitios visitados.
“Sospechamos que esta no será la última vez que APT34 trae nuevas herramientas a la mesa. Los actores de amenazas a menudo están modificando sus TTP para evadir los mecanismos de detección, especialmente si el objetivo es altamente deseado. Por estas razones, recomendamos que las organizaciones permanezcan vigilantes en sus defensas y recuerden ver su entorno de manera integral cuando se trata de la seguridad de la información “, concluye el informe.