La aparición del malware FalseFont marca un nuevo capítulo de sofisticación y riesgo, especialmente para las empresas de defensa. Recientemente destacado por expertos de Microsoft, este malware representa una amenaza significativa, manipulando técnicas avanzadas para burlar los sistemas de seguridad.
Microsoft informa que el grupo de ciberespionaje APT33 de Irán está utilizando el recientemente descubierto malware de puerta trasera llamado FalseFont para atacar a contratistas de defensa en todo el mundo. Según Microsoft, "Peach Sandstorm", un actor iraní, está tratando de implantar la recién desarrollada puerta trasera FalseFont en individuos que trabajan para organizaciones en el sector de la Base Industrial de Defensa (DIB).
Este sector DIB engloba a más de 100,000 empresas de defensa y subcontratistas involucrados en la investigación y desarrollo de sistemas, subsistemas y componentes de armas militares.
Este grupo de hackers, también conocido como Peach Sandstorm, HOLMIUM o Refined Kitten, ha estado activo desde al menos 2013 y ha dirigido sus ataques a diversos sectores industriales en Estados Unidos, Arabia Saudita y Corea del Sur, incluyendo gobierno, defensa, investigación, finanzas e ingeniería.
Podría interesarte leer: ¿Qué es Backdoor?: Protegiendo tu Sistema Digital
FalseFont, la puerta trasera personalizada utilizada en la campaña revelada por Microsoft, permite a los operadores acceder de forma remota a sistemas comprometidos, ejecutar archivos y transferir archivos a sus servidores de comando y control (C2).
Según Microsoft, esta variante de malware se detectó por primera vez en actividad real a principios de noviembre de 2023. Microsoft señala que el desarrollo y uso de FalseFont es coherente con la actividad previamente observada de Peach Sandstorm durante el año pasado, lo que sugiere que este grupo continúa mejorando sus habilidades.
Se recomienda a los defensores de la red que tomen medidas, como restablecer las credenciales de las cuentas objetivo que están siendo objeto de ataques de pulverización de contraseñas, con el fin de reducir la superficie de ataque a la que apuntan los piratas informáticos de APT33. Además, deben revocar las cookies de sesión y proteger las cuentas y los puntos finales de RDP o Azure Virtual Desktop mediante la autenticación multifactor (MFA).
Te podrá interesar: Análisis de Malware con Wazuh
En septiembre, Microsoft emitió una advertencia sobre otra campaña orquestada por el grupo de amenazas APT33, que se focalizó en miles de organizaciones en todo el mundo, incluyendo el sector de defensa, mediante una serie de ataques de pulverización de contraseñas que se llevaron a cabo desde febrero de 2023.
El equipo de Microsoft Threat Intelligence informó que "entre febrero y julio de 2023, Peach Sandstorm ejecutó una serie de ataques de pulverización de contraseñas con el objetivo de autenticarse en miles de entornos".
"A lo largo de 2023, Peach Sandstorm mantuvo un interés constante en organizaciones tanto estadounidenses como extranjeras, especialmente en los sectores de satélites y defensa, aunque en menor medida en el sector farmacéutico".
Estos ataques resultaron en la sustracción de datos de un número limitado de víctimas pertenecientes a los sectores de defensa, satélites y farmacéutico. En un informe de Microsoft de octubre de 2012, se señaló que un grupo de hackers relacionado con Irán, denominado DEV-0343 por investigadores del Microsoft Threat Intelligence Center (MSTIC), también había atacado a empresas de tecnología de defensa en los Estados Unidos e Israel hace dos años.
En los últimos años, agencias de defensa y contratistas de todo el mundo también han estado en el punto de mira de piratas informáticos estatales de Rusia, Corea del Norte y China.
Podría interesarte leer: Uso de Microsoft Threat Intelligence en Azure Sentinel
El malware FalseFont es un recordatorio de que los ciberataques están en constante evolución, y las empresas, especialmente en sectores críticos como la defensa, deben estar siempre un paso adelante en la seguridad cibernética. La adopción de prácticas de seguridad robustas y la colaboración con expertos en ciberseguridad son fundamentales para protegerse contra estas amenazas sofisticadas.