Especialistas en ciberseguridad reportan la detección de un nuevo grupo de hacking iraní que ha estado empleando una variante de troyano de acceso remoto (RAT) nunca antes identificada. El grupo cibercriminal fue identificado como MalKamak y la campaña es conocida como Operación GhostShell.
La campaña, identificada por la firma de seguridad Cybereason, fue detectada por primera vez en junio de 2021, con los atacantes empleando un RAT bautizado como ShellClient para atacar compañías aeroespaciales y de telecomunicaciones en Oriente Medio, Rusia y algunos países de la Unión Europea.
Desde su detección en 2018, MalKamak ha evolucionado de forma increíble, pasando de usar un simple shell inverso a emplear una sofisticada herramienta de ciberespionaje. Los investigadores concluyeron que MalKamak es un grupo de origen iraní debido a las similitudes entre sus tácticas y las empleadas por Agrius, otro grupo de hacking con sede en Irán que se caracteriza por atacar constantemente a organizaciones públicas y privadas en Israel.
Sobre ShellClient, los expertos mencionan que el RAT está diseñado para pasar desapercibido en el sistema objetivo e incluso es capaz de establecer conexión C&C con Dropbox, lo que le permite a los actores de amenazas mezclar la actividad maliciosa con el tráfico legítimo de esos sitios.
La comunicación con Dropbox requiere de la API de Dropbox con una clave API integrada única y del cifrado de datos mediante una calve de cifrado AES codificada. Esto hace que las víctimas tengan dificultades para detectar las comunicaciones C&C, ya que esto requiere de reconstruir las carpetas Dropbox en otra parte del servicio.
El almacenamiento de Dropbox contiene tres carpetas: una carpeta de agentes para almacenar la información cargada desde las máquinas afectadas; una carpeta de comandos que almacena los comandos que ShellClient usará; y una carpeta de resultados que almacena la salida de los comandos ejecutados por ShellClient. El shell comprueba la carpeta de comandos cada dos segundos.
Como se menciona anteriormente, la versión actual de ShellClient muestra un gran avance desde la primera vez que fue detectado. Entre las nuevas características del shell se encuentra un nuevo método de persistencia de servicio, oculto como un servicio de actualización de Windows Defender.
Los expertos concluyen mencionando que la Operación GhostShell parece emplear uno de los desarrollos maliciosos más avanzados en el mundo del cibercrimen, mostrando una rápida evolución pero también dejando algunas pistas de que los hackers aún no alcanzan todo su potencial.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
