Symantec ha da poco rilasciato i dati di una ricerca che svela l’ampliamento delle operazioni da parte di Chafer, un gruppo di cyber criminali basato in Iran. Chafer ha in corso alcuni attacchi ambiziosi contro organizzazioni in Medio Oriente e non solo. Il gruppo starebbe, inoltre, per rilasciare diversi nuovi strumenti per attacchi informatici.
Chafer è attiva almeno dal 2014 e le loro operazioni sono state per la prima volta messe alla luce da Symantec nel dicembre del 2015. Gran parte degli attacchi del gruppo di cyber-criminali miravano a raccogliere informazioni sui diversi target o a favorire le attività di sorveglianza e controllo dei target.
I principali risultati emersi dall’indagine Symantec:
- Attaccati nove nuovi obiettivi in Medio Oriente: Chafer ha colpito organizzazioni in Israele, Giordania, Emirati Arabi, Arabia Saudita e Turchia; compromesso anche un importante fornitore di servizi di telecomunicazioni che opera nell’area. Al di fuori del Medio Oriente Symantec ha rilevato le prove di attacchi mossi contro una linea aerea africana e alcuni tentativi di compromettere un’agenzia di viaggi internazionale
- Nuovi metodi di infezione: Chafer utilizza documenti in Excel infettati e fatti circolare tramite spear phishing. I documenti installano tre file sul computer: un agente che sottrae informazioni; una utility per catturare l’immagine dello schermo, e un eseguibile vuoto
- Utilizzo di nuovi strumenti per compromettere le reti: le recenti attività di Chafer indicano un ricorso sempre più frequente a nuovi strumenti software disponibili gratuitamente, tra cui Remcom, Non-sucking Service Manager, un tool per la cattura della schermata, strumenti di hacking SMB, GNU HTTP Tunnel, UltraVNC e NBTScan
- Crescita del numero delle minacce alla catena logistica: crescono gli attacchi di Chafer verso la catena logistica con l’obiettivo di compromettere le organizzazioni facendo leva sui canali di fiducia e – in ultima analisi – colpire i loro clienti