Los investigadores de seguridad han descubierto una nueva estafa vinculada al grupo Phosphorus APT. Este grupo de hackers tiene una amplia gama de habilidades, desde ransomware hasta spear phishing dirigido contra personas de alto perfil.
Check Point Research (CPR) informa que están tras la pista de una nueva campaña de piratería. Este grupo de actividades se llamó Educated Manticore, en honor a la criatura mantícora de la mitología persa, con la que los investigadores de seguridad quieren dejar claro por el nombre qué nación sospechan que está detrás de la campaña.
Grupos de hackers estatales de Irán
Sergey Shykevich, Gerente del Grupo de Amenazas en Check Point Software Technologies, comenta: “En nuestro estudio, arrojamos luz sobre las capacidades en constante evolución de los grupos de piratería del estado-nación iraní. Al igual que los ciberdelincuentes comunes, que adaptan sus cadenas de infección a los entornos de TI cambiantes, los piratas informáticos de los estados nacionales ahora también utilizan archivos ISO para eludir las nuevas medidas contra los archivos de Office infectados, que han sido populares hasta ahora. Sin embargo, las herramientas de este jugador también han mejorado, lo que indica la continua inversión de Irán en la expansión de sus capacidades estatales de TI”.
Phosphorus es un notorio grupo APT (Advanced Persistent Threat) que opera desde Irán, principalmente en y contra América del Norte y el mundo árabe. El nuevo grupo que parece estar asociado con Phosphorus usa métodos rara vez vistos, incluidos binarios .NET integrados en código ensamblador de modo mixto. La nueva campaña consiste principalmente en phishing contra iraquíes e israelíes, utilizando un archivo de imagen ISO, ya que recientemente se han establecido muchas protecciones contra archivos de Office infectados, como supuestos documentos de Word o Excel, por parte de empresas y agencias gubernamentales. Dentro del archivo ISO, los documentos se mantuvieron en árabe y hebreo.
Comienzo de una cadena de infección
Los investigadores de seguridad de Check Point sospechan que este método solo pretende actuar como el comienzo de una cadena de infección para abrir una puerta de enlace para malware o ransomware, porque: La variante en los archivos ISO es una actualización de malware más antiguo, y ambos pueden ser vinculado a ransomware -Operaciones de Phosphorus juntos. Por este motivo, los expertos aconsejan a todos los responsables de la toma de decisiones de TI que instalen periódicamente parches y actualizaciones para sus productos y aplicaciones de seguridad, que capaciten fundamentalmente a los empleados (incluida la gerencia) en seguridad de TI contra amenazas y que adopten un enfoque consolidado al comprar soluciones de seguridad de TI para prefieren en lugar de comprar una proliferación de diferentes soluciones individuales que funcionan mal juntas y, por lo tanto, dejan lagunas en la defensa.
La detección y respuesta automática de amenazas se ha vuelto esencial, así como el monitoreo de correo electrónico automatizado (especialmente archivos adjuntos) y la respuesta de correo electrónico. Esto también se aplica a los archivos y sus actividades en las computadoras de la red. Estar vinculado a una nube de inteligencia de amenazas también ayuda enormemente, ya que proporciona datos de amenazas en tiempo real y datos de respuesta de todo el mundo a la solución de seguridad, que se controla de forma centralizada.
Más en Checkpoint.com
Sobre el punto de control Check Point Software Technologies GmbH (www.checkpoint.com/de) es un proveedor líder de soluciones de ciberseguridad para administraciones públicas y empresas de todo el mundo. Las soluciones protegen a los clientes de los ataques cibernéticos con una tasa de detección de malware, ransomware y otros tipos de ataques líder en la industria. Check Point ofrece una arquitectura de seguridad de varias capas que protege la información corporativa en la nube, la red y los dispositivos móviles, y el sistema de administración de seguridad de "un punto de control" más completo e intuitivo. Check Point protege a más de 100.000 XNUMX empresas de todos los tamaños.