StrongPity, un grupo de APT activo desde al menos 2012 y denunció públicamente por primera vez en 2016, aunque todavía se les conoce como Promethium, estos fueron los autores de los ataques a Kurdistán mediante ataques watering hole, estos ataques consisten en la infección de sitios web. de terceros utilizados por los usuarios finales a los que se quiere comprometer. Es una forma muy común de atacar a las organizaciones, ya que su éxito no radica tanto en fallas de seguridad en la propia infraestructura tecnológica, sino en el análisis de inteligencia practicado sobre los hábitos de los usuarios finales.
El APT de StrongPity se enfoca en encontrar y extraer datos de las máquinas infectadas y ejecuta varios sitios web falsos que atraen a los usuarios con una variedad de herramientas de software. Estas herramientas son versiones troyanizadas de aplicaciones originales.
▸El APT se dirige selectivamente a las víctimas utilizando una lista de IP predefinida. Si la dirección IP de una víctima coincide con la del archivo de configuración del instalador, el grupo entrega una versión troyana de la aplicación; de lo contrario, una versión legítima.
▸Una vez instalado, el malware activa un componente de exfiltración que ejecuta un mecanismo de búsqueda de archivos con la tarea de recorrer las unidades en busca de archivos con algunas extensiones específicas definidas por los atacantes.
▸Si se encuentran, los archivos se almacenan en un archivo temporal (.ZIP). Luego divídalos en archivos cifrados ocultos (.SFT) y envíelos al servidor C2. Finalmente, estos archivos se eliminan del disco para ocultar cualquier evidencia de exfiltración.
▸La APT utiliza dos tipos de servidores: servidores de descarga que propagan el instalador malicioso utilizado en el compromiso inicial de las víctimas y servidores C2.
Por ahora, parece que StrongPity quiere expandirse, ya que recientemente se realizó una investigación sobre una muestra de malware malicioso para Android, que se cree que es atribuible a este grupo, que se publicó en el sitio web e-Gov de Siria. Hasta donde sabemos, esta es la primera vez que se observa públicamente al grupo usando aplicaciones maliciosas de Android como parte de sus ataques, pero lo sabremos cuando publiquen más sobre esta amenaza.