Los ataques altamente dirigidos del nuevo actor de amenazas iraní MalKamak incluyen un malware recién descubierto que elude las herramientas de seguridad desde 2018 y ataca los servicios de Dropbox para tomar el control

Cybereason ha publicado un nuevo informe sobre amenazas que desenmascara una operación de ciberespionaje altamente dirigida a multinacionales del sector aeroespacial y de  telecomunicaciones. El informe identifica como autor de los ataques a un actor iraní recientemente descubierto, apodado MalKamak, que ha estado operando desde al menos 2018 y hasta hoy era desconocido. La campaña de ciberespionaje, aún activa, aprovecha un troyano de acceso remoto (RAT) muy sofisticado y no descubierto previamente, apodado ShellClient, que evade las herramientas antivirus y otros dispositivos de seguridad y ataca los servicios de nube pública de Dropbox para lograr el comando y control (C2). 

El informe, titulado Operación GhostShell: nuevo virus RAT ataca a empresas multinacionales del sector Aeroespacial y de Telecomunicaciones, detalla los ataques ocultos contra empresas de Europa, Estados unidos, Oriente Medio y Rusia. La investigación revela posibles conexiones con varios actores de amenazas patrocinadas por el Estado iraní, como Chafer APT (APT39) y Agrius APT. Este informe llega tras la publicación en agosto del estudio DeadRinger de Cybereason, que descubrió de forma similar múltiples campañas APT chinas dirigidas a proveedores de telecomunicaciones.

Las revelaciones clave del informe Operación GhostShell incluyen:

• Descubrimiento de un nuevo grupo de cibercriminales: los equipos Nocturnus y de Respuesta a Incidentes de Cybereason han identificado un nuevo grupo de amenazas patrocinado por el estado iraní y no descubierto hasta el momento, denominado MalKamak. 
• Descubrimiento del troyano de acceso remoto (RAT) ShellClient: los equipos Nocturnus y de Respuesta a Incidentes de Cybereason han identificado un sofisticado troyano de acceso remoto (RAT) no documentado previamente, apodado ShellClient, utilizado para operaciones de ciberespionaje altamente dirigidas.
• Dirigido a empresas aeroespaciales y de telecomunicaciones: los ataques se han detectado predominantemente en la región de Oriente Medio, pero también se extienden a Estados Unidos, Rusia y Europa. 
• Ataques continuos desde 2018: el troyano GhostClient se puso en funcionamiento por primera vez en 2018 y ha estado en continuo desarrollo, añadiendo mejoras con cada nueva versión para mantenerse oculto, ya que los ataques han continuado al menos hasta septiembre de 2021.
• Ataque a servicios en la nube para C2: se ha observado que las versiones más recientes de ShellClient explotaban las debilidades de los servicios de almacenamiento basados en la nube para su Comando y Control (C2), en este caso del popular servicio Dropbox, con el objetivo de que los ataques no fueran detectados al mezclarse con el tráfico de red legítimo.
• Diseñado para mantenerse oculto: los autores de ShellClient han invertido mucho esfuerzo para evitar la detección de los antivirus y otras herramientas de seguridad. El ataque utiliza múltiples técnicas de confusión y ataca un cliente de Dropbox para el comando y control (C2), lo que lo hace muy difícil de detectar. 
• Posibles conexiones de APT iraníes: la investigación establece interesantes conexiones con varios actores de amenazas patrocinadas por Irán, incluyendo Chafer APT (APT39) y Agrius APT.

Mediante el uso del troyano ShellClient, el actor de la amenaza también desplegó herramientas de ataque adicionales para realizar varias actividades de espionaje en las redes objetivo, incluyendo reconocimiento, movimiento lateral en el entorno y la recolección y extracción de datos sensibles. Se considera que la operación GhostShell está dirigida por un agente de amenazas patrocinado por el Estado de Irán, o una amenaza persistente avanzada (APT).

“La Operación GhostShell ha revelado un complejo ataque troyano de acceso remoto (RAT) capaz de evitar la detección manteniéndose oculto desde el año 2018, y DeadRinger descubrió una amenaza similar que operaba en silencio desde 2017, lo que nos dice mucho sobre cómo los atacantes avanzados están derrotando continuamente las soluciones de seguridad», ha señalado el CEO y cofundador de Cybereason, Lior Div. «La superposición de herramientas para producir aún más alertas que abruman a los defensores no nos está ayudando a detener los ataques sofisticados, por lo que Cybereason adopta un enfoque centrado en la operación que detecta los ataques en base a cadenas de comportamiento muy sutiles donde las propias acciones del adversario trabajan en su contra para revelar el ataque en las primeras etapas.»