El grupo de espionaje cibernético iraní APT39 se centra en el robo de información personal o realiza operaciones de monitoreo, seguimiento o vigilancia contra individuos específicos.
El grupo que realizó una campaña generalizada enfocó sus operaciones en Medio Oriente, Estados Unidos y Corea del Sur. A continuación se detallan las industrias que incluyen telecomunicaciones, industrias de viajes, industria de alta tecnología,y entidades gubernamentales.
"Tenemos una confianza moderada. Las operaciones de APT39 se llevan a cabo en apoyo de los intereses nacionales iraníes basados en patrones de focalización regionales enfocados en Medio Oriente, infraestructura, tiempo y similitudes con APT34", dice el informe FireEye.
El ataque comienza con correos electrónicos de phishing, credenciales robadas y compromiso del servidor web. Los correos electrónicos de phishing llevan archivos adjuntos maliciosos que resultan en la descarga del malware POWBAT.
Para las comunicaciones del servidor C2, el grupo de piratas informáticos registra dominios que se presentan como legítimos y relevantes para las organizaciones.
Además, el grupo compromete a los servidores web con las vulnerabilidades conocidas de las organizaciones objetivo e inyecta shells web como ANTAK y ASPXSPY. Credenciales robadas utilizadas para obtener acceso a las cuentas de correo electrónico.
APT39 utiliza puertas traseras personalizadas como SEAWEED, variantes de POWBAT de CACHEMONEY para obtener acceso a las organizaciones objetivo y para escalar privilegios utilizando herramientas disponibles de forma gratuita, como Mimikatz y Ncrack.
El movimiento lateral se realiza a través de herramientas populares como el Protocolo de escritorio remoto (RDP), Secure Shell (SSH), PsExec, RemCom, xCmdSvc y con las herramientas personalizadas REDTRIP, PINKTRIP y BLUETRIP.
Para archivar, los datos robados del grupo APT 39 usa WinRAR o 7-Zip y usan un modificado Versión de Mimikatz para evadir la detección de virus.
Las industrias de telecomunicaciones y viajes son los principales objetivos para el grupo, ya que almacenar Grandes cantidades de información personal y de clientes.
"La orientación de APT39 no solo representa una amenaza para las industrias objetivo conocidas, sino que se extiende a la clientela de estas organizaciones, que incluye una amplia variedad de sectores e individuos a escala global", concluyeron los investigadores.
Fecha actualización el 2021-01-31. Fecha publicación el 2019-01-31. Categoría: apt Autor: Oscar olg Mapa del sitio Fuente: gbhackers