Sospechosos Hackers Iraníes Utilizaron Correo Electrónico Comprometido de una Empresa India para Atacar el Sector de Aviación de los E.A.U.

Sospechosos Hackers Iraníes Utilizaron Correo Electrónico Comprometido de una Empresa India para Atacar el Sector de Aviación de los E.A.U.
Seguridad Informática Autor: Condorsoft

En un reciente descubrimiento que ha captado la atención de los cazadores de amenazas, se ha identificado una campaña de phishing altamente dirigida que ha utilizado un backdoor previamente no documentado, llamado Sosano, escrito en Golang. Esta campaña, detectada a finales de octubre de 2024 por Proofpoint, se dirigió específicamente a organizaciones del sector de la aviación y las comunicaciones satelitales en los Emiratos Árabes Unidos (E.A.U.), con un enfoque en menos de cinco entidades.

Lo que hace particularmente notable esta cadena de ataque es el uso de una cuenta de correo electrónico comprometida perteneciente a la empresa india de electrónica INDIC Electronics. Esta empresa mantenía una relación comercial de confianza con todos los objetivos, lo que permitió a los atacantes personalizar los señuelos de phishing para cada uno de ellos. Los correos electrónicos maliciosos contenían URLs que apuntaban a un dominio falso que se hacía pasar por la empresa india, alojando un archivo ZIP que incluía un archivo XLS y dos archivos PDF.

Sin embargo, el archivo XLS era en realidad un acceso directo de Windows (LNK) que utilizaba una doble extensión para hacerse pasar por un documento de Microsoft Excel. Los dos archivos PDF resultaron ser poliglotas, es decir, podían ser interpretados como dos formatos válidos diferentes dependiendo de cómo se analizaran. Uno de ellos contenía un archivo de Aplicación HTML (HTA) y el otro un archivo ZIP adjunto.

El proceso de ataque implicaba el uso del archivo LNK para lanzar cmd.exe y luego usar mshta.exe para ejecutar el archivo PDF/HTA poliglota, lo que llevaba a la ejecución de un script HTA que, a su vez, contenía instrucciones para desempaquetar el contenido del archivo ZIP presente dentro del segundo PDF. Uno de los archivos dentro del segundo PDF era un archivo de acceso directo a internet (URL) responsable de cargar un binario, que posteriormente buscaba un archivo de imagen que finalmente era XORed con la cadena "234567890abcdef" para decodificar y ejecutar el backdoor DLL llamado Sosano.

Escrito en Golang, el implante Sosano tiene una funcionalidad limitada para establecer contacto con un servidor de comando y control (C2) y esperar órdenes adicionales. Entre las capacidades observadas se encuentran comandos para obtener el directorio actual, enumerar los contenidos del directorio, descargar y lanzar una carga útil de próxima etapa desconocida, eliminar un directorio y ejecutar un comando de shell.

Proofpoint ha señalado que la artesanía demostrada por UNK_CraftyCamel no coincide con ningún otro actor de amenazas conocido, sugiriendo que esta campaña es probablemente obra de un adversario alineado con Irán, posiblemente afiliado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC). Los sectores objetivo son cruciales tanto para la estabilidad económica como para la seguridad nacional, lo que los convierte en objetivos valiosos de inteligencia en el panorama geopolítico más amplio.

Esta campaña de phishing de bajo volumen pero altamente dirigida, que aprovechó múltiples técnicas de ofuscación junto con el compromiso de un tercero de confianza, demuestra las longitudes a las que los actores estatales alineados llegarán para evadir la detección y cumplir con éxito sus mandatos de recopilación de inteligencia.