Campañas de phishing despliegan nuevas variantes de Agent Tesla y SideTwist

El grupo de amenaza iraní conocido como APT34 ha sido vinculado a un reciente ataque de phishing que ha dado paso a la implantación de una variante de una backdoor denominada SideTwist.

«APT34 tiene un alto nivel de tecnología de ataque, puede diseñar diferentes métodos de intrusión para diferentes tipos de objetivos y tiene la capacidad de ataque a la cadena de suministro».

Afirmó NSFOCUS Security Labs en un informe publicado la semana pasada

Este grupo de amenazas, también conocido bajo múltiples alias como Cobalt Gypsy, Hazel Sandstorm (anteriormente Europium), Helix Kitten y OilRig, ha estado activo en la región de Oriente Medio desde al menos 2014, tomando como objetivos organizaciones de telecomunicaciones, gobierno, defensa, petróleo y servicios financieros. Su modus operandi suele involucrar el uso de tácticas de spear-phishing, utilizando señuelos persuasivos que culminan en la implantación de diversas puertas traseras.

Una característica distintiva de este grupo es su habilidad para desarrollar y actualizar constantemente herramientas de intrusión, lo que les permite operar en hosts comprometidos durante períodos prolongados sin ser detectados.

La variante SideTwist, por ejemplo, hizo su debut en la escena en abril de 2021, según los hallazgos de Check Point este implante posee la capacidad de descargar/cargar archivos y ejecutar comandos en los sistemas infectados.

El proceso de ataque identificado por NSFOCUS comienza con la utilización de un documento de Microsoft Word como cebo que contiene una macro maliciosa. Esta macro extrae y ejecuta una carga útil codificada en Base64 que se encuentra en el archivo, la cual se revela como una variante de SideTwist compilada con GCC. Esta variante establece una comunicación con un servidor remoto (11.0.188[.]38) para recibir comandos adicionales.

Esta noticia llega justo después de que Fortinet FortiGuard Labs detectara una campaña de phishing que distribuye una nueva variante de Agent Tesla. Este malware se vale de un documento de Microsoft Excel especialmente diseñado que explota la vulnerabilidad CVE-2017-11882, una vulnerabilidad de corrupción de memoria en el Editor de Ecuaciones de Microsoft Office con seis años de antigüedad, así como la vulnerabilidad CVE-2018-0802.

«El módulo central de Agent Tesla recopila información sensible del dispositivo de la víctima, incluyendo credenciales almacenadas de programas, datos de keylogging y capturas de pantalla».

Xiaopeng Zhang, investigador de seguridad

Según datos proporcionados por la firma de ciberseguridad Qualys, la vulnerabilidad CVE-2017-11882 sigue siendo una de las más explotadas hasta la fecha, siendo utilizada por «467 tipos de malware, 53 actores de amenazas y 14 variantes de ransomware» hasta el 31 de agosto de 2023.

Este hallazgo se suma a una serie de ataques de phishing que aprovechan señuelos de archivos de imagen ISO para desplegar cepas de malware como Agent Tesla, LimeRAT y Remcos RAT en los sistemas infectados.

Más información:

• https://nsfocusglobal.com/apt34-unleashes-new-wave-of-phishing-attack-with-variant-of-sidetwist-trojan/
• https://en.wikipedia.org/wiki/GNU_Compiler_Collection
• https://www.fortinet.com/blog/threat-research/agent-tesla-variant-spread-by-crafted-excel-document
• https://blog.qualys.com/vulnerabilities-threat-research/2023/09/04/qualys-top-20-exploited-vulnerabilities
• https://asec.ahnlab.com/en/56512/
• https://nvd.nist.gov/vuln/detail/CVE-2017-11882
• https://nvd.nist.gov/vuln/detail/CVE-2018-0802

La entrada Campañas de phishing despliegan nuevas variantes de Agent Tesla y SideTwist se publicó primero en Una al Día.