Charming Kitten, ha exfiltrado 2 TB de datos de víctimas desde 2018

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El grupo ITG18 patrocinado por Irán puede no ser el actor de amenazas más sofisticado que existe. Sin embargo, sus técnicas demuestran ser exitosas una y otra vez.

Durante la sesión de Black Hat USA 2021, un par de investigadores de IBM X-Force describieron los detalles del actor de amenazas patrocinado por el estado ITG18. Las tácticas, técnicas y procedimientos de este grupo se superponen con los grupos conocidos como Charming Kitten, Phosphorus y TA453.

El analista senior de caza de amenazas de IBM X-Force Richard Emerson explicó que ITG18 tiende a dejar directorios abiertos, lo que ayuda a los investigadores a aprender más sobre las herramientas y técnicas utilizadas por el grupo. Y a veces, resulta ser un tesoro.

Los investigadores observaron más de cerca al actor de la amenaza cuando se dirigió a la compañía biofarmacéutica estadounidense Gilead Sciences en mayo de 2020. Irán, según Emerson, probablemente estaba interesado en obtener acceso a cualquier información sobre las posibles vacunas y tratamientos COVID-19.

"También sabíamos que para ITG18, si bien esta focalización puede haber parecido atípica, no era raro girar y enfocarse en objetivos de mayor prioridad a corto plazo. Comenzamos a verificar la infraestructura que ya habíamos asociado con este grupo cuando encontramos un directorio abierto ", dijo.

En el transcurso de una semana, los investigadores vieron varios archivos cargados en el servidor, incluida información filtrada relacionada con un miembro de la marina griega y un miembro de la marina estadounidense. También encontraron más de 4 horas de grabación de escritorio en un operador de ITG18 que validaba manualmente las credenciales de la víctima y varios archivos de video cortos, que luego determinaron que eran videos de capacitación.

Emerson destacó que el grupo de amenazas pone mucho esfuerzo y trabajo manual en el phishing de credenciales para respaldar sus objetivos de espionaje y vigilancia. Por ejemplo, según los informes, han enviado mensajes de texto y correos electrónicos a posibles víctimas antes de intentar que descarguen el malware o visiten una página de phishing.

ITG18 se destaca de otros grupos porque no le importa mucho la divulgación pública de sus métodos o herramientas. Por ejemplo, en marzo de 2019, Microsoft afirmó que interrumpió a Charming Kitten y se hizo cargo de 99 dominios asociados con el grupo. Un par de semanas después, ITG18 registró dominios similares y ha continuado con sus operaciones como de costumbre.

    "Este no es un grupo que está constantemente innovando y tratando de ocultar su actividad a la comunidad de seguridad. Tienen métodos para hacer las cosas e, independientemente de la divulgación pública, sigue funcionando para ellos en términos de comprometer y exfiltrar datos de sus objetivos ", dijo Emerson.

ITG18 busca las credenciales de Google, Yahoo y Microsoft de las víctimas. Son buenos en el uso de herramientas legítimas integradas, como Google Takeout, que recopila y exporta datos como un archivo.

"Estos datos suelen ser muy personales. Por ejemplo, para una persona comprometida, los datos de Google Takeout incluían información de ubicación, por lo que pudimos ver a esta persona de EE. UU. Visitando bases militares de EE. UU. Y posiblemente tomando unas vacaciones, como cuando esta persona visitó el parque temático de Disney. Esos datos incluían las consultas de la persona al asistente de voz de Google, por lo que también pudimos escuchar fragmentos de la voz de esta persona. Con toda esta información personal extraída de objetivos de interés, solo podemos adivinar cómo el gobierno iraní la está utilizando para sus objetivos ", explicó Emerson.

Desde 2018, ITG18 ha extraído cerca de 2 terabytes de datos de las víctimas. IBM recopiló 2000 indicadores únicos asociados con las actividades del grupo.

Los analistas de X-Force señalaron que los operadores de ITG18 son humanos, por lo que son propensos a cometer errores.

"Puede que no parezca una prioridad para el servidor que está utilizando para alojar sus páginas de phishing, mantener actualizado ese software y configurarlo para protegerlo de las amenazas cibernéticas. Pero también puede experimentar un supuesto incidente de ransomware de postura global como lo hizo el servidor ITG18 en 2019. El ransomware es un gran problema para muchas organizaciones, incluido ITG18. Los operadores son solo humanos, tan propensos a cometer errores y equivocaciones como nosotros ", dijo.

Pero, a pesar de errores y deslices ocasionales, ITG18 continúa sus operaciones con bastante éxito.

"Desde agosto de 2020 hasta mayo de 2021, X-Force observó que ITG18 comprometía con éxito a múltiples víctimas alineadas con el movimiento reformista iraní. Dado el momento y el enfoque de la actividad, esto puede haber sido en apoyo de los objetivos de vigilancia previos a las elecciones presidenciales de junio de 2021 en Irán. Finalmente, a pesar de los continuos errores de OPSEC, ITG18 parece llevar a cabo una operación considerable ya menudo exitosa que se enfoca principalmente en comprometer el correo web personal y las cuentas de redes sociales ", concluyó Allison Wikoff, analista senior de amenazas cibernéticas estratégicas en IBM X-Force.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta