Alerta Zardoor Backdoor: los autores de la amenaza apuntan a la caridad islámica
En recientes inteligencia sobre ciberamenazas una organización islámica sin ánimo de lucro no identificada con sede en Arabia Saudí ha sido víctima de una campaña de ciberespionaje encubierta que emplea una puerta trasera desconocida hasta ahora llamada Zardoor. Descubierto por Cisco Talos en mayo de 2023el puerta trasera Zardoor ha persistido probablemente desde marzo de 2021, con un único objetivo identificado hasta ahora, lo que hace temer posibles víctimas por descubrir.
Zardoor Backdoor - Tácticas sigilosas y acceso prolongado
Los investigadores de seguridad Jungsoo An, Wayne Lee y Vanja Svajcer arrojaron luz sobre las tácticas de los actores de la amenaza, haciendo hincapié en su uso de binarios que viven fuera del territorio (LoLBins) para desplegar puertas traseras, establecer mando y control (C2)y mantener un acceso prolongado sin levantar sospechas. Esto hace saltar las alarmas sobre la sofisticada naturaleza de tales ataques selectivos y la capacidad del agente de la amenaza para pasar desapercibido durante mucho tiempo.
Detalles de la intrusión de Zardoor Backdoor
La intrusión cibernética en la organización benéfica islámica implicó la exfiltración periódica de datos, que se producía aproximadamente dos veces al mes. Aunque el método exacto de acceso inicial sigue siendo desconocido, los atacantes utilizaron estratégicamente Zardoor para la persistencia, empleando herramientas de proxy inverso de código abierto como Fast Reverse Proxy (FRP), sSocks y Venom para establecer conexiones de comando y control. Las amenazas persistentes avanzadas (APT) plantean importantes retos a los profesionales de la ciberseguridad debido a su naturaleza sigilosa y prolongada.
Movimiento lateral y despliegue de herramientas
Una vez establecidas las conexiones, la amenaza utilizaba Windows Management Instrumentation (WMI) para moverse lateralmente dentro del entorno comprometido. Los investigadores observaron el despliegue de Zardoor, junto con otras herramientas, a través de procesos generados en el sistema objetivo, ejecutando comandos recibidos desde el C2. Este método permitía al atacante navegar por la red evitando la la detección del malware.
Vía de infección y módulos de puerta trasera
La vía de infección implica un componente dropper que despliega una biblioteca maliciosa de vínculos dinámicos ("oci.dll"), responsable de distribuir dos módulos de puerta trasera, a saber "zar32.dll y "zor32.dll". El primero sirve como backdoor central para la comunicación de comando y control, mientras que el segundo asegura el despliegue de "zar32.dll" con privilegios de administrador. Las capacidades de Zardoor incluyen la exfiltración de datos, la ejecución remota de ejecutables y shellcode obtenidos, la actualización de direcciones IP C2 y la autoeliminación del host.
Retos de la atribución
Los orígenes del actor de la amenaza siguen siendo imprecisos y no muestran solapamientos tácticos con actores conocidos de los que se haya informado públicamente. A pesar de ello, se considera que la campaña es obra de un "agente de amenazas avanzado". lo que subraya la sofisticación y experiencia de la operación.
Técnicas de persistencia encubierta
Para mantener la persistencia, el autor de la amenaza empleó proxies inversos registrados como tareas programadas y estableció el reenvío remoto de puertos mediante SSH. Este ingenioso enfoque permitió una conexión constante y encubierta a la red comprometida, permitiendo la exfiltración de datos aproximadamente dos veces al mes.
El nivel de sofisticación demostrado en la creación de nuevas herramientas, la adaptación de las existentes y el aprovechamiento de binarios legítimos de Windows subraya la destreza del actor de la amenaza no identificado. La seguridad en el sector de la beneficencia es una preocupación fundamental para salvaguardar datos sensibles y mantener la confianza de donantes y beneficiarios.
Advertencia sobre el paisaje digital
A medida que nuestro mundo está más interconectado ciberespionaje como Zardoor son un claro recordatorio de los peligros ocultos en el ámbito digital. Esta narrativa de sigilo y subterfugio pone de relieve la necesidad crítica de vigilancia y medidas de ciberseguridad robustas en el panorama actual en rápida evolución.
Conclusión
La campaña de ciberespionaje Zardoor, dirigida contra una organización benéfica islámica, pone de manifiesto la evolución de las tácticas de los actores de amenazas avanzadas en la era digital. Es importante que los usuarios tengan cuidado al descargar archivos de fuentes no fiables, ya que pueden contener software malicioso.
A medida que las organizaciones se esfuerzan por proteger sus datos sensibles, resulta imperativo comprender y adaptarse a estas sofisticadas técnicas. Analizando tendencias de los ciberataques es esencial para anticiparse a las amenazas que evolucionan en el panorama digital actual. La historia de Zardoor sirve como llamada a la acción, instando a un esfuerzo colectivo para reforzar las defensas de ciberseguridad. defensas de ciberseguridad y estar un paso por delante de las amenazas de ciberseguridad en las sombras digitales.
Las fuentes de este artículo incluyen artículos en The Hacker News y BNN.