Estados Unidos e Israel advierten sobre las nuevas tácticas de ciberdelincuentes iraníes

Estados Unidos e Israel han advertido que el actor de amenazas patrocinado por el estado iraní Cotton Sandstorm está desplegando nuevas tácticas para atacar redes, incluido el aprovechamiento de herramientas de inteligencia artificial generativa.

El aviso conjunto destacó cómo el grupo, también conocido como Marnanbridge y Haywire Kitten, ha pasado recientemente de operaciones de «piratería y filtración» contra organizaciones principalmente en Israel a una gama más amplia de ataques que afectan a numerosos países, incluidos Israel, Francia, Suecia y los EE. UU.

Esto incluye explorar activamente los sitios web y medios de comunicación relacionados con las elecciones estadounidenses, lo que sugiere que se está preparando para realizar operaciones de influencia más directa a medida que se acerca el día de las elecciones presidenciales.

El grupo ha llevado a cabo múltiples operaciones cibernéticas dirigidas a los Juegos Olímpicos de París de 2024, incluido el compromiso de un proveedor francés de pantallas dinámicas comerciales, y ha emprendido un proyecto para extraer contenido de cámaras IP.

Las agencias autoras agregaron que desde abril de 2024, Cotton Sandstorm ha utilizado la identidad en línea «Cyber ​​Court» para promover las actividades de varios supuestos grupos hacktivistas que realizan actividades maliciosas contra varios países como un medio para protestar contra el conflicto entre Israel y Hamás.

El FBI dijo que tiene información confiable de que desde mediados de 2024, Cotton Sandstorm ha estado operando bajo el nombre de la empresa Aria Sepehr Ayandehsazan (ASA) como una tapadera nominal, incluso para fines relacionados con recursos humanos y financieros.

El Informe de Defensa Digital 2024 de Microsoft destacó a Cotton Sandstorm como parte del Cuerpo de la Guardia Revolucionaria Islámica (CGRI), que lleva a cabo operaciones cibernéticas ofensivas en nombre de Teherán.

El aviso destacó varias tácticas, técnicas y procedimientos nuevos que se ha observado que utiliza Cotton Sandstorm. Entre ellos se incluyen:

 

  • Nueva estrategia de infraestructura. Desde mediados de 2023, el grupo ha utilizado varios proveedores de alojamiento para la gestión y ofuscación de la infraestructura: “Server-Speed” y “VPS-Agent”. Ha creado sus propios revendedores y ha adquirido espacio en servidores de proveedores con sede en Europa, y estos revendedores encubiertos se utilizan luego para aprovisionar servidores operativos para que los actores cibernéticos realicen actividades maliciosas. Por ejemplo, estos revendedores encubiertos se han utilizado para proporcionar asistencia técnica a personas identificadas con sede en el Líbano para alojar sitios web afiliados a Hamás.
  • Recopilación de información de código abierto. Tras el ataque de Hamás del 7 de octubre de 2023 a Israel, Cotton Sandstorm ha intentado identificar información sobre pilotos de combate y operadores de vehículos aéreos no tripulados israelíes buscando información en numerosas plataformas, incluidas Pastebin y LinkedIn. También utiliza recursos en línea como ancestry.com y familysearch.org en sus operaciones, y busca información a través de conjuntos de datos filtrados anteriormente.
  • Incorporación de IA. Las agencias dijeron que se observó al grupo incorporando IA generativa en sus esfuerzos de mensajería durante una operación llamada «Por la humanidad». Esta operación de influencia cibernética en diciembre de 2023 afectó a una empresa de transmisión de televisión por protocolo de Internet (IPTV) con sede en EE. UU. Este ataque aprovechó el acceso no autorizado a los servicios de transmisión de IPTV para difundir mensajes elaborados relacionados con el conflicto militar entre Israel y Hamás.

Las agencias agregaron que Cotton Sandstorm continúa realizando un reconocimiento significativo, acceso inicial, persistencia y acceso a credenciales como parte de sus operaciones.

Las agencias establecieron una serie de medidas de mitigación que las organizaciones deben tomar en relación con las tácticas de Cotton Sandstorm. Estas incluyen:

  • Revisar cualquier autenticación exitosa a su red o cuentas de la empresa desde servicios de red privada virtual como Private Internet Access, Windscribe, ExpressVPN, Urban VPN y NordVPN
  • Implementar medidas para garantizar que ninguna información previamente comprometida pueda ser exfiltrada para realizar más actividades maliciosas contra su red
  • Emplear actualizaciones regulares a las aplicaciones y al sistema operativo host para garantizar la protección contra vulnerabilidades conocidas
  • Establecer una copia de seguridad fuera de línea de los servidores
  • Emplear la validación de entrada del usuario para restringir las vulnerabilidades de inclusión de archivos locales y remotos
  • Implementar una política de privilegios mínimos en el servidor web
  • Considerar la implementación de una zona desmilitarizada (DMZ) entre los sistemas web de su organización y la red corporativa
  • Utilizar servicios de alojamiento confiables para sitios web y sistemas de administración de contenido (CMS)

El aviso fue emitido por la Oficina Federal de Investigaciones (FBI), el Departamento del Tesoro de los EE. UU. y la Dirección Nacional Cibernética de Israel.

SendmarcZi zoom

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.