Nueva campaña del grupo APT34 envía malware a través de Linkedin

24 Julio 2019
Alto

Expertos de FireEye han descubierto una nueva campaña de espionaje llevada a cabo por el grupo APT34 (OilRig, HelixKitten y Greenbug) a través de LinkedIn. Un miembro del grupo se hizo pasar por un investigador de Cambridge y les pidió a las víctimas que se unieran a su red social para enviarles un documento.

El ataque se concreta a través de un archivo System.doc ejecutable en sistemas Windows (PE), a pesar de tener una extensión de archivo “doc”. Los investigadores identificaron esta nueva familia de malware como “TONEDEAF”, la cual es un backdoor que se comunica con el servidor de comando y control mediante solicitudes HTTP GET y POST, asi permite recopilar información del sistema, cargar y descargar archivos y ejecutar comandos de shell arbitrarios. 

APT34 es un grupo de amenaza avanzada persistente vinculado a Irán que ha existido desde al menos el 2014, y está dirigido principalmente a organizaciones de los sectores financieros, gubernamental, energético, telecomunicaciones y químico en los Estados Unidos y los países del Medio Oriente.

Se recomienda lo siguiente:

  • Mantener precaución si una persona que no conoce le envía documentos por Linkedin u otras redes sociales.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
  • Tener activado el UAC (control de cuentas de usuario) de Windows.

Tags: #tondeaf #apt34 #doc #oilrig #helixkitten #greenbug #linkedin


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.