Hackers vinculados a Irán atacan Israel con malware MURKYTOUR mediante una campaña de empleos falsos.
Publicado enAtaques

Hackers vinculados a Irán atacan Israel con malware MURKYTOUR mediante una campaña de empleos falsos.

No hay comentarios

UNC2428 y MURKYTOUR: Campaña de ciberespionaje vinculada a Irán contra Israel

En octubre de 2024, el grupo de amenazas UNC2428, asociado con Irán, llevó a cabo una campaña de ingeniería social dirigida a entidades israelíes. La operación, documentada por Mandiant (propiedad de Google), involucró la distribución del backdoor MURKYTOUR mediante tácticas sofisticadas de engaño laboral.

Perfil técnico de UNC2428

UNC2428 es un actor de amenazas vinculado a operaciones de ciberespionaje en apoyo a los intereses iraníes. Según Mandiant, este grupo emplea técnicas avanzadas de persistencia y evasión, destacando:

  • Uso de dominios falsos que imitan portales de empleo legítimos.
  • Explotación de documentos maliciosos (ej. PDF, DOCX) con macros ofuscadas.
  • Implementación de mecanismos de comunicación C2 (Command and Control) cifrados.

Análisis del malware MURKYTOUR

MURKYTOUR es un backdoor modular diseñado para recopilar información sensible y permitir el control remoto de sistemas comprometidos. Sus capacidades técnicas incluyen:

  • Persistencia: Registro de tareas programadas y servicios Windows.
  • Recolección de datos: Keylogging, captura de pantallas y exfiltración de credenciales.
  • Evasión: Técnicas anti-sandbox y detección de herramientas de análisis.
  • Protocolos C2: Comunicación sobre HTTP/HTTPS con servidores intermediarios.

Metodología de ataque

La campaña empleó un enfoque multietapa:

  1. Fase inicial: Correos electrónicos con ofertas laborales falsas dirigidas a sectores estratégicos.
  2. Vector de infección: Archivos adjuntos que ejecutan scripts PowerShell para descargar MURKYTOUR.
  3. Post-explotación: Movimiento lateral mediante herramientas como PsExec y WMI.

Implicaciones para la ciberseguridad

Este caso subraya tres aspectos críticos:

  • Amenazas APT regionales: Los grupos patrocinados por estados nacionales continúan refinando sus tácticas.
  • Ingeniería social avanzada: Los ataques aprovechan contextos geopolíticos para aumentar su efectividad.
  • Detección proactiva: Necesidad de monitorear patrones de tráfico anómalos y comportamientos post-infección.

Para mitigar riesgos similares, se recomienda:

  • Implementar controles de ejecución de macros en documentos.
  • Segmentar redes para limitar el movimiento lateral.
  • Capacitar a empleados en identificación de phishing dirigido.

Fuente: The Hacker News

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta