Un grupo de hacking TA456 con sede en Irán ha pasado alrededor de un año y medio operando una campaña de malspam en la que se hacen pasar por instructoras de aeróbic con el fin de espiar e infectar con malware a empleados y contratistas de defensa y agencias aeroespaciales tratando de robar información confidencial. El grupo de ciberdelincuencia TA456, alineado con los intereses del Estado iraní utilizaron durante años técnica ingeniería social para manipular a un empleado con acceso a información sensible. Se trataba de un trabajador de una pequeña filial de defensa aeroespacial. Sin duda se confirma una vez más, que muchas veces en un ataque informático, el eslabón más débil es el humano.
Acorde a los especialistas de Proofpoint, los operadores de esta campaña crearon un perfil falso supuestamente controlado por la instructora de aeróbics “Marcella Flores”, usando plataformas como Facebook, Instagram y servidores email para engañar a los usuarios afectados. Los atacantes usan estos falsos perfiles para engañar a los usuarios y distribuir malware con relativa facilidad.
Los expertos han atribuido esta campaña al grupo de hacking identificado como TA456 o Tortoiseshell, grupo de hacking auspiciado por el gobierno de Irán y muy cercano a Islamic Revolutionary Guard Corps (IRGC).
En los perfiles de redes sociales creados por los actores de amenazas, se anuncia a Marcella Flores como una experta instructora de aeróbics que reside en la ciudad inglesa de Liverpool y cuenta con una larga lista de supuestos amigos, contactos profesionales y clientes. Los hackers usan los perfiles de Marcella Flores para buscar a personas de interés en estas plataformas, ofreciendo sus supuestos servicios como entrenadora personal, solicitando responder a una encuesta de alimentación e incluso coqueteando con los usuarios afectados.
La propia empresa de Mark Zuckerberg anunció el pasado 15 de julio que había eliminado varias cuentas de Facebook e Instagram, incluyendo la de la ficticia Marcella, al formar parte de una acción de ciberespionaje.
La campaña de piratería duró años, según Proofpoint, que dice que «Flores» se hizo amigo del empleado de una pequeña subsidiaria de un contratista de defensa aeroespacial en 2019. Luego comenzaron a charlar con el empleado en noviembre de 2020, enviándoles correos electrónicos y fotografías. , e incluso un «video benigno pero coqueto a través de una URL de OneDrive», según Proofpoint. En junio de 2021, los investigadores dicen que TA456 envió al empleado una «encuesta de dieta» falsa con malware para robar nombres de usuario, contraseñas y otros datos en junio de 2021. Proofpoint adjuntó una captura de pantalla del intento de piratería en su informe:
Después de ganar la confianza de los usuarios afectados, los atacantes usan una cuenta de Gmail personal para enviar un enlace de OneDrive donde supuestamente se alojan documentos personales; en realidad, esta plataforma aloja un archivo cargado con una nueva versión del malware Lideric, también conocido como Lempo. Este malware genera persistencia en los sistemas Windows para después comenzar a buscar y robar información confidencial como nombres de usuario y credenciales de acceso, las cuales son enviadas a un servidor controlado por los hackers.
LEMPO
La herramienta de reconocimiento de LEMPO es un script de Visual Basic que se descarga usando una macro de Excel. Aprovechando los comandos integrados de Windows, enumera el host de diversas formas, registra los datos recopilados y luego extrae la inteligencia a una cuenta de correo electrónico controlada por el actor utilizando Collaboration Data Objects (CDO) de Microsoft. CDO, anteriormente conocido como OLE Messaging o Active Messaging, es una interfaz de programación de aplicaciones incluida con los productos Microsoft Windows y Microsoft Exchange Server. Si bien la mayor parte de este análisis se basa en la muestra bloqueada por Proofpoint
La información comprometida permitiría a los actores de amenazas obtener acceso remoto a plataformas VPN y de administración remota, lo que podría permitir el despliegue de ambiciosas campañas de espionaje cibernético y sofisticados ataques de phishing. Después de recibir un reporte al respecto, Facebook eliminó los perfiles de Marcella Flores en sus diversas plataformas, además de publicar una alerta de seguridad relacionada con esta campaña de hacking.
Esta es una muestra clara de la sofisticación con la que los actores de amenazas pueden operar, creando una infraestructura integral para el despliegue de ambiciosas campañas de ingeniería social y phishing. Los usuarios deben tratar de evitar hacer contacto con una cuenta desconocida en redes sociales, especialmente si se trata de empleados o personal directivo en compañías contratistas gubernamentales.