El grupo APT34 utiliza LinkedIn para ciberespionaje

El grupo hacker Iraní APT34 continúa con sus actividades de espionaje, esta vez a través de la plataforma LinkedIn, lo que fuera descubierto por expertos de FireEye.
Han lanzado una nueva campaña de espionaje la cual se enfocó principalmente en organizaciones de energía, petróleo y gas así como a entidades gubernamentales.

Modus Operandi

Los atacantes simulan ser personas vinculadas a la investigación en Cambridge para atraer a las víctimas a sus redes y poder así enviarles documentos maliciosos.
En Junio del corriente año, FireEye detectó la campaña de phishing en la cual sobresalen tres atributos claves en particular para esta actividad:

  • Los atacantes se hacen pasar por miembros de Cambridge para atraer víctimas que abrirán los archivos maliciosos.
  • El uso de LinkedIn para la transmisión de estos archivos.
  • La adición de tres nuevas familias de malware al arsenal de APT34: TONEDEAF, VALUEVAULT y LONGWATCH.

Desde estos perfiles falsos se solicita a las víctimas mediante un mensaje de LinkedIn, abrir un documento de excel malicioso llamado “ERFT-Details.xls”. Los atacantes envían un mensaje con el personal de investigación de la Universidad de Cambridge y la conversación continúa con la solicitud de información para potenciales oportunidades de trabajo. Este método de “confianza” vía redes sociales, es una técnica de ataque que no es nueva.

El malware “tonedeaf” es una puerta trasera que se comunica con un solo servidor de comando y control (C2) a través de solicitudes HTTP GET y POST. Éste soporta muchos comandos para recolección de información, carga y descarga de archivos y ejecución de comandos de shell.
“ValueVault” es una versión compilada por Golang de la herramienta de robo de credenciales del explorador de Windows de Massimiliano Montoro, el desarrollador de “Cain&Abel”.
“Longwatch” es un keylogger que almacena las pulsaciones de las teclas en un archivo log.txt en la carpeta “temp” de Windows.

Se recomienda a las organizaciones y a los usuarios de la plataforma LinkedIn mantenerse alerta en lo que refiere a las defensas en seguridad informática sobre estos posibles ataques. Realizar un análisis de las personas previamente a la aceptación del vínculo y evitar la apertura de archivos sospechosos o que no provengan de una fuente confiable.

Referencias

https://securityaffairs.co/wordpress/88737/apt/apt34-cyberspionage-linkedin.html

https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html