Falla de Outlook explotada por APT33 iraní, alerta de problemas de ciberCom

Falla de Outlook explotada por APT33 iraní, alerta de problemas de ciberCom
5 (100%) 11 votos

Falla de Outlook explotada por APT33 iraní, alerta de problemas de ciberCom

US Cyber ​​Command (US CyberCom) emitió una alerta de malware en Twitter sobre la explotación activa de la CVE-2017-11774 Vulnerabilidad de Outlook para atacar agencias del gobierno de EE. UU., Lo que permite a los atacantes ejecutar comandos arbitrarios en sistemas comprometidos.

Aunque el CyberCom de EE. UU. No mencionó al actor de la amenaza detrás de los ataques en curso, los investigadores de seguridad de Chronicle, FireEyey Redes de Palo Alto los ha vinculado al grupo de ciberespionaje APT33 respaldado por Irán.

APT33 (también conocido como Duendecillo) es un grupo de amenaza iraní con operaciones que van desde 2013 dirigidas a organizaciones de múltiples industrias en Estados Unidos, Arabia Saudita y Corea del Sur (por ejemplo, gobierno, investigación, finanzas e ingeniería), con un enfoque en entidades de energía y aviación. (1, 2)

Advertencias anteriores de APT33

La advertencia de CyberCom de EE. UU. No es la única que menciona la actividad APT33 desde principios de 2019, ya que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) también emitió una alerta similar el mes pasado.

En el momento, Director de CISA Chris Krebs publicó una declaración titulada "Declaración de CISA sobre las amenazas de ciberseguridad iraníes" en su Twitter cuenta que mencionó un aumento en el número de ataques cibernéticos que utilizan herramientas destructivas de limpieza del disco duro dirigidas a entidades privadas y gubernamentales de los Estados Unidos por actores o representantes iraníes.

Recomendamos:  Fortnite Ubicación de Season 9 Fortbyte 64 - Accesible por Rox en la cima de Stunt Mountain
Declaración de CISA sobre las amenazas de ciberseguridad iraníesDeclaración de CISA sobre las amenazas de ciberseguridad iraníes

Symantec, quien le dio a APT33 el nombre de Elfin, también dijo en marzo que "una ola reciente de ataques durante febrero de 2019, Elfin intentó explotar una vulnerabilidad conocida (CVE-2018-20250) en WinRAR, la herramienta de compresión y archivado de archivos ampliamente utilizada de crear archivos de extracción autoextraíbles ".

El equipo de seguridad también insinuó la conexión entre APT33 y el destructivo. Ataques Shamoon hecho por Chronicle, afirmando que "Una víctima de Shamoon en Arabia Saudita también había sido atacada recientemente por Elfin y había sido infectada con el malware Stonedrill (Trojan.Stonedrill) utilizado por Elfin".

"Debido a que los ataques de Elfin y Shamoon contra esta organización ocurrieron tan juntos, se ha especulado que los dos grupos podrían estar vinculados".

Malware utilizado en ataques APT33 anteriores

Algunas de las muestras de malware subido de US CyberCom a VirusTotal son herramientas maliciosas utilizadas por APT33 en ataques anteriores después de comprometer los servidores web como detalla Brandon Levene, Jefe de Inteligencia Aplicada en Chronicle.

"Los ejecutables cargados por CyberCom parecen estar relacionados con la actividad Shamoon2, que tuvo lugar alrededor de enero de 2017. Ambos ejecutables son descargadores que utilizan PowerShell para cargar la RUP PUPY", dice Levene.

"Además, CyberCom cargó tres herramientas probablemente utilizadas para la manipulación y de servidores web explotados. Cada herramienta tiene un propósito ligeramente diferente, pero el atacante tiene una clara capacidad de interactuar con servidores que pueden haber comprometido".

Andrew Thompson de FireEye también adicional que los ataques sobre los que advirtió el CyberCom de EE. UU. son similares a los descrito el año pasado en el blog de FireEye Intelligence, y están utilizando las cargas útiles de RULER.HOMEPAGE para eliminar la puerta trasera POWERTON basada en PowerShell.

Recomendamos:  La refrigeración por agua externa del teléfono funciona, pero no querrás usar una

Thompson también directamente atribuido los continuos ataques de Outlook mencionados en los EE.UU. CyberCom Twitter alerta al grupo de piratería APT33.


Dejános tus Comentarios: