Los piratas informáticos con presuntos vínculos con Irán están apuntando activamente a la academia, las agencias gubernamentales y las entidades de turismo en el Medio Oriente y las regiones vecinas como parte de una campaña de espionaje destinada al robo de datos.

Apodado «Earth Vetala» por Trend Micro, el último hallazgo amplía una investigación anterior publicada por Anomali el mes pasado, que encontró evidencia de actividad maliciosa dirigida a las agencias gubernamentales de Emiratos Árabes Unidos y Kuwait al explotar la herramienta de administración remota ScreenConnect.

La firma de ciberseguridad vinculó los ataques en curso con confianza moderada a un actor de amenazas ampliamente rastreado como MuddyWater, un grupo de piratas informáticos iraní conocido por sus ofensivas principalmente contra las naciones del Medio Oriente.

Se dice que Earth Vetala aprovechó los correos electrónicos de spear-phishing que contenían enlaces integrados a un popular servicio de intercambio de archivos llamado Onehub para distribuir malware que iba desde utilidades de volcado de contraseñas hasta puertas traseras personalizadas, antes de iniciar comunicaciones con un servidor de comando y control (C2). para ejecutar scripts ofuscados de PowerShell.

Los enlaces mismos dirigen a las víctimas a un archivo .ZIP que contiene un software legítimo de administración remota desarrollado por RemoteUtilities, que es capaz de descargar y cargar archivos, capturar capturas de pantalla, explorar archivos y directorios y ejecutar y terminar procesos.

Países afectados

Al señalar que las tácticas y técnicas entre las dos campañas que distribuyen RemoteUtilities y ScreenConnect son muy similares, Trend Micro dijo que los objetivos de la nueva ola de ataques son principalmente organizaciones ubicadas en Azerbaiyán, Bahrein, Israel, Arabia Saudita y los Emiratos Árabes Unidos.

En un caso particular relacionado con un host comprometido en Arabia Saudita, los investigadores descubrieron que el adversario intentó sin éxito configurar SharpChisel, un envoltorio C # para una herramienta de túnel TCP/UDP llamada chisel, para comunicaciones C2, antes de descargar una herramienta de acceso remoto, un ladrón de credenciales y una puerta trasera de PowerShell capaz de ejecutar comandos remotos arbitrarios.

«Earth Vetala representa una amenaza interesante», dijo Trend Micro. «Si bien posee capacidades de acceso remoto, los atacantes parecen carecer de la experiencia necesaria para usar todas estas herramientas correctamente. Esto es inesperado ya que creemos que este ataque está conectado con los actores de amenazas de MuddyWater, y en otras campañas conectadas, los atacantes han mostrado mayor niveles de habilidad técnica».