Chafer iraní APT ataca el transporte aéreo y el gobierno en Kuwait y Arabia Saudita

Los investigadores descubrieron una campaña de cibercrimen del grupo de hackers, CHAFER APT, aparentemente vinculados con el gobierno iraní, y descubrieron varias víctimas del transporte aéreo y del gobierno con la esperanza de difundir puertas traseras y filtrar datos.

Este grupo ha estado activo desde 2014 y previamente lanzó operaciones de recolección de información en el Medio Oriente. Los ataques comenzaron en 2018 y han durado en 2019, dirigidos a varias empresas como telecomunicaciones, industrias de viajes, etc. con sede en Kuwait y Arabia Saudita.

Las campañas se basaron en varias herramientas, incluidas las herramientas de ‘vivir de la tierra’, que dificultan la atribución, así como diferentes herramientas de piratería y una puerta trasera personalizada.

Hallazgos clave del análisis

  • El transporte aéreo y el gobierno fueron los principales objetivos
  • La actividad de los atacantes ocurrió los fines de semana.
  • Se descubrió que se creó una cuenta de usuario de los actores de amenazas en el ataque de Kuwait
  • El ataque a Arabia Saudita se basó en la ingeniería social para engañar a los usuarios.
  • Ambos atacantes se centraron en la explotación de datos y la exfiltración.

Objetivos típicos observados en ciberataques

El grupo iraní es conocido por realizar campañas dirigidas a objetivos políticos y otros sectores desde donde se pueden filtrar datos valiosos. Utilizan varias técnicas engañosas que incluyen el corte de correos electrónicos con archivos o enlaces maliciosos y otras puertas traseras para acceder al dispositivo objetivo. Después de esto, pueden elevar fácilmente los privilegios y otras actividades para garantizar la persistencia completa en la red.

Incluso antes, este grupo apuntó a Oriente Medio. Sin embargo, con estos ataques, los hackers probaron alguna nueva forma de comprometer la red. En el ataque de Kuwait, crearon una cuenta de usuario en el dispositivo y realizaron diversas actividades como redes, escaneo, robo de credenciales, etc. Utilizan dos herramientas Mimikatz y CrackMapExec para este propósito. En el ataque a Arabia Saudita, los piratas informáticos engañaron a las personas para que instalaran y ejecutaran la herramienta de administración remota.

Si bien estos dos son los ejemplos de ataque más recientes que ocurren en el Medio Oriente, es importante entender que este tipo de ataque puede ocurrir en cualquier parte del mundo, y las infraestructuras críticas como el gobierno y el transporte aéreo siguen siendo objetivos muy sensibles.