Investigadores de la firma de ciberseguridad Anomaly descubrieron una nueva campaña de ciberespionaje que utiliza la herramienta de gestión remota ScreenConnect para espiar a agencias gubernamentales en los Emiratos Árabes Unidos (EAU).
El actor principal detrás de estos ataques parece ser el grupo de piratas informáticos vinculado a Irán rastreado por investigadores de seguridad como Static Kitten (Seedworm, MERCURY, Temp.Zagros, POWERSTATS, NTSTATS y MuddyWater). Este grupo ha estado activo desde al menos 2017 y es conocido por sus ataques pasados contra naciones del Medio Oriente.
“El objetivo de esta actividad es instalar una herramienta de administración remota llamada ScreenConnect (adquirida por ConnectWise 2015) con parámetros de lanzamiento únicos que tienen propiedades personalizadas”, escribieron los investigadores de Anomaly. "Los ejecutables maliciosos y las URL que se utilizan en esta campaña se hacen pasar por el Ministerio de Relaciones Exteriores (MOFA) de Kuwait (mofa.gov [.] Kw)".
Las muestras de malware observadas en esta campaña se enviaron a través de correos electrónicos de phishing que contienen archivos ZIP diseñados para engañar a los usuarios para que descarguen un supuesto informe sobre las relaciones entre los países árabes e Israel, o un archivo relacionado con becas. Las URL de descarga proporcionadas en los documentos señuelo incrustados en los correos electrónicos dirigían a los usuarios a la ubicación de almacenamiento de archivos prevista en Onehub, un servicio legítimo que Static Kitten utiliza con fines maliciosos. Un archivo que contiene ScreenConnect también se alojó en Onehub, dijeron los investigadores.
Los archivos ZIP contenían un archivo EXE que, al ejecutarse, iniciaba el proceso de instalación de ScreenConnect (ConnectWise Control), una aplicación de software de escritorio remoto autohospedado que permite realizar soporte remoto, obtener acceso remoto y ejecutar reuniones remotas.
“El uso de software legítimo con fines maliciosos puede ser una forma eficaz para que los actores de amenazas ofusquen sus operaciones. En este último ejemplo, es muy probable que Static Kitten utilice funciones de ScreenConnect para robar información confidencial o descargar malware para operaciones cibernéticas adicionales. Como se considera que Static Kitten se centra principalmente en el ciberespionaje, es muy probable que el robo de datos sea el objetivo principal detrás de la propagación de ScreenConnect a los empleados de las agencias gubernamentales ”, dijeron los investigadores.
