El grup APT (Advanced Persistent Threat) estatals iranià Charming Kitten està activament dirigint atacs a múltiples víctimes als EUA, Europa, el Pròxim Orient i l’Índia amb un nou malware anomenat BellaCiao. Descobert per Bitdefender Labs, el “dropper personalitzat” és capaç de lliurar altres càrregues de malware a una màquina víctima segons les comandes rebudes d’un servidor controlat per l’actor. Microsoft ha atribuït atacs de retaliació contra entitats d’infraestructura crítica als EUA al grup d’amenaça. Check Point també ha revelat l’ús del grup d’una versió actualitzada de l’implant PowerLess per atacar organitzacions situades a Israel.
BellaCiao és notable per realitzar una sol·licitud DNS cada 24 hores per resoldre un subdomini a una adreça IP que després s’analitza per extreure les comandes que s’han d’executar en el sistema compromès. Depenent de l’adreça IP resoldrida, la cadena d’atac porta a la implementació d’una shell web o una eina Plink que permet pujar i baixar fitxers arbitraris així com executar comandes. S’estima que els atacs es troben en la segona fase després d’atacs oportunistes, on BellaCiao s’ha personalitzat i implementat contra víctimes seleccionades amb cura. Per protegir-se davant els atacs moderns, Bitdefender recomana implementar una arquitectura de defensa en profunditat, començant per reduir la superfície d’atac i aplicar les actualitzacions de les vulnerabilitats descobertes de forma prompta.
Per mitigar aquestes amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.
Source: Hackernews