El nuevo malware BellaCiao de Charming Kitten se ha descubierto realizando ataques cibernéticos en varios países
Detectan ataques cibernéticos del malware BellaCiao en distintos países
El grupo de estado-nación iraní conocido como Charming Kitten, está apuntando activamente a múltiples víctimas en Estados Unidos, Europa, Medio Oriente e India, con un nuevo malware denominado Bellaciao, que se suma a su lista en constante expansión de herramientas personalizadas.
Descubierto por Bitdefender Labs, BellaCiao es un «cuentagotas personalizado» que es capaz de entregar otras cargas útiles de malware en una máquina víctima en función de los comandos recibidos de un servidor controlado por un hacker.
Charming Kitten, también conocido como APT35, Cobalt Illusion, Educated Manticore, ITG18, Mint Sandstorm (née Phosphorus), TA453 y Yellow Garuda, es un grupo APT patrocinado por el estado iraní asociado con el Grupo de la Guardia Revolucionaria Islámica (IRGC).
A lo largo de los años, el grupo ha utilizado varios medios para implementar backdoors en sistemas que pertenecen a una amplia gama de industrias verticales.
El desarrollo se produce cuando Microsoft atribuyó al hacker los ataques de represalia dirigidos a entidades de infraestructura crítica en Estados Unidos entre finales de 2021 y mediados de 2022, usando malware a medida como harmPower, Drokbk y Soldier.
Después, a inicios de esta semana, Check Point reveló el uso de Mind Sandstorm en una versión actualizada del implante PowerLess para atacar a organizaciones ubicadas en Israel usando señuelos de phishing como temática de Irak.
El modus operandi exacto usado para lograr la intrusión inicial aún no se ha determinado, aunque se sospecha que implica la explotación de vulnerabilidades conocidas en aplicaciones expuestas a Internet como Microsoft Exchange Server o Zoho ManageEngine.
Después de una infracción exitosa, el hacker intenta deshabilitar Microsoft Defender mediante un comando de PowerShell y establece la persistencia en el host por medio de una instancia de servicio.
Bitdefender dijo que también observó a Charming Kitten descargando dos módulos de Internet Information Services (IIS) capaces de procesar instrucciones entrantes y filtrar credenciales.
BellaCiao, por su parte, también se destaca por realizar una solicitud de DNS cada 24 horas para resolver un subdominio en una dirección IP que después se analiza para extraer los comandos que se ejecutarán en el sistema comprometido.
Dependiendo de la dirección IP resuelta, la cadena de ataque conduce a la implementación de un shell web que admite la capacidad de cargar y descargar archivos arbitrarios, así como ejecutar comandos.
También se detectó una segunda variante de BellaCiao que sustituye el shell web por una herramienta Plink, una utilidad de línea de comandos para PuTTY, que está diseñada para establecer una conexión de proxy inverso a un servidor remoto e implementar funciones de backdoor similares.
Se evalúa que los ataques se encuentran en la segunda etapa luego de los ataques oportunistas, en los que BellaCiao se personaliza y despliega contra víctimas de interés cuidadosamente seleccionadas después de la explotación indiscriminada de sistemas vulnerables.