El grupo APT patrocinado por el estado iraní Charming Kitten está dirigiendo activamente ataques a múltiples víctimas en Estados Unidos, Europa, Oriente Medio e India con un nuevo malware llamado BellaCiao. Descubierto por Bitdefender Labs, el “instalador personalizado” es capaz de entregar otros payloads de malware en una máquina de víctimas basado en los comandos recibidos desde un servidor controlado por el atacante. Microsoft ha atribuido ataques de represalia contra entidades de infraestructura crítica en los Estados Unidos al actor de amenazas. Check Point también ha revelado el uso del grupo de una versión actualizada del implant PowerLess para atacar a organizaciones ubicadas en Israel.
BellaCiao es notable por realizar una solicitud DNS cada 24 horas para resolver un subdominio a una dirección IP que luego se analiza para extraer los comandos que se deben ejecutar en el sistema comprometido. Dependiendo de la dirección IP resuelta, la cadena de ataque lleva al despliegue de una shell web o una herramienta Plink que admite la capacidad de cargar y descargar archivos arbitrarios, así como ejecutar comandos. Los ataques se evalúan como estando en la segunda etapa después de los ataques oportunistas, donde BellaCiao se personaliza y se despliega contra víctimas seleccionadas con cuidado. Para protegerse de los ataques modernos, Bitdefender recomienda implementar una arquitectura de defensa en profundidad, comenzando con la reducción de la superficie de ataque y la rápida parcheada de vulnerabilidades recién descubiertas.
Para mitigar estas posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.
Source: Hackernews