Cybertech Europe 2026 - Officiel mediepartner for IT-branchen

Iran-relateret spear-phishing: Angribere udgiver sig for at være Omans udenrigsministerium for at målrette offentlige enheder

– Iran-relateret spear-phishing: Angribere udgiver sig for at være Omans udenrigsministerium for at målrette offentlige enheder | IT-branchen – Iran-relateret spear-phishing: Angribere udgiver sig for at være Omans udenrigsministerium for at målrette offentlige enheder | IT-branchen
Iran-relateret spear-phishing: Angribere udgiver sig for at være Omans udenrigsministerium for at målrette offentlige enheder – Udgivet af IT-Branschen

Cybersikkerhedsforsker har afsløret en sofistikeret spear-phishing-kampagne med Iran-tilknytning, der udnyttede en kompromitteret e-mailkonto i Omans udenrigsministerium (MFA) i Paris. Angriberne brugte stjålne diplomatiske meddelelser og ondsindede makroer til at levere malware til regeringer og internationale organisationer verden over.

Diplomatiske lokkefugle med skadelige makroer

Angriberne kaprede en officiel e-mailkonto tilhørende det omanske udenrigsministerium i Paris og sendte beskeder, der så ud til at indeholde presserende opdateringer om multifaktorgodkendelse (MFA). Modtagere – herunder ambassader, konsulater og internationale organisationer – blev opfordret til at ”"Aktivér indhold"” at vise angiveligt legitime Word-dokumenter.

Iran – Iran-forbundet spear-phishing: Angribere udgiver sig for at være Omans udenrigsministerium for at målrette offentlige enheder | IT-branchen

Disse dokumenter indeholdt en VBA-makrodropper, der genskabte en binær nyttelast fra trecifrede talsekvenser i et skjult formularfelt. Da dokumentet blev åbnet, startede det en firedelt kæde:

  • IT-branchens nordiske teknologimedieplatform dækker cybersikkerhed, cloud, AI, digital transformation, kanal, MSP og virksomheds-IT-nyheder
    IT-branchen er en førende nordisk teknologiplatform, der dækker nyheder om cybersikkerhed, kunstig intelligens, cloud computing, virksomheds-IT, digital transformation, administrerede tjenester, kanalpartnere, softwareudvikling, telekommunikation, datacentre, IT-infrastruktur, teknologisk lederskab, forretningsinnovation og nye teknologier. Gennem interviews med ledere, brancheanalyser, eventdækning, thought leadership, produktlanceringer, leverandøropdateringer og markedsindsigt forbinder IT-branchen teknologiske beslutningstagere, CIO'er, CISO'er, CTO'er, IT-chefer, MSP'er, forhandlere, distributører, teknologileverandører, startups og virksomhedsorganisationer i Sverige, Norge, Danmark, Finland og Europa. Dækningen omfatter cybersikkerhedstendenser, AI-adoption, cloudstrategi, virksomhedssoftware, netværk, digital infrastruktur, bæredygtighed, compliance, governance, risikostyring, automatisering, dataanalyse og fremtidig teknologisk udvikling.
    EGET INDHOLD

  • Maciek Szczesniak var med på IT-Branschen Wire Channel Magic Chats podcast-banner
    Maciek Szczesniak optræder på IT-Branschen Wire Channel Magic Chats, hvor han diskuterer lederskab, innovation, digital transformation og forretningsservice.
    SPONSORERET

  • Cybertech Europe 2026 cybersikkerhedskonference i Rom med IT-branchen som officiel mediepartner
    Cybertech Europe 2026 er en af Europas førende cybersikkerhedskonferencer, der samler cybersikkerhedsledere, embedsmænd, teknologiske innovatorer, startups, investorer og beslutningstagere i virksomheder i Rom. IT-branchen fungerer som officiel mediepartner og leverer dækning af begivenheder, interviews med ledere, brancheindsigt og cybersikkerhedsnyheder til nordiske og europæiske publikummer.
    REKLAME

  • VORTIQ-X AI Governance hjælper virksomheder med at transformere AI til kontrollerbar og verificerbar forretningsværdi.
    VORTIQ-X er en AI Governance-platform, der hjælper organisationer med at styre, verificere og skabe målbar forretningsværdi fra AI. Platformen fokuserer på gennemsigtighed, compliance, AI-governance og effektiv brug af AI i missionskritiske processer.
    REKLAME

  1. Forsinkelse og antianalyse: En indlejret løkkerutine kaldet laylay kørte tusindvis af iterationer for at forsinke analyse og blokere sandbox-miljøer.
  2. Afkodning af nyttelast: Funktionen dddd fortolkede tripletter af tal til ASCII-tegn og byggede en eksekverbar binær fil.
  3. Lydløs udgivelse og udførelse: Den afkodede nyttelast blev skrevet til C:\Brugere\Offentlige\Dokumenter\ManagerProc.log og blev kørt skjult via en Shell-kommando.
  4. Vedholdenhed og oprydning: Forsinkelser og simpel fejlhåndtering skjulte eventuelle fejl og sikrede, at processen blev gennemført stille og roligt.

Denne makrobaserede forsyningskæde kombinerede numerisk kodning og tidsforsinkelser for at omgå både e-mailfiltre og dynamiske analyseværktøjer.

Iran – Iran-forbundet spear-phishing: Angribere udgiver sig for at være Omans udenrigsministerium for at målrette offentlige enheder | IT-branchen

Global spionage under diplomatisk dække

En retsmedicinsk analyse afslørede, at 270 spear-phishing-e-mails blev sendt fra 104 kompromitterede adresser inden for Omans MFA-netværk. Kampagnen brugte NordVPN-noder i Jordan til at maskere sin oprindelse og var målrettet seks regioner:

  • Europa: 10 lande, 73 adresser
  • Afrika: 12 lande, 30 adresser
  • Asien: 7 lande, 25 adresser
  • Mellemøsten: 7 lande, 20 adresser
  • Amerika: 11 lande, 35 adresser
  • Internationale organisationer: 10 lig, 12 adresser

Europa syntes at være det primære mål, men afrikanske missioner blev også hårdt ramt. Angrebene blev rettet mod flere internationale organisationer, herunder FN, UNICEF og Verdensbanken, hvilket indikerer en interesse i strategisk diplomati og humanitære netværk.

Tidspunktet for kampagnen faldt sammen med følsomme regionale forhandlinger, hvilket tyder på, at målet var at indsamle efterretninger og påvirke diplomatiske resultater.

Undvigelse, rekognoscering og næste skridt

Den eksekverbare fil, der blev droppet – kaldet sysProcUpdate – demonstrerede høj teknisk sofistikering. Den brugte brugerdefinerede undtagelseshåndteringer og sektionspakning for at gøre reverse engineering vanskelig.

Da malwaren blev aktiveret, indsamlede den systemdata såsom brugernavn, computernavn og administrativ status. Oplysningerne blev krypteret og sendt via HTTPS POST til en kommando- og kontrolserver på https://screenai.online/Home/.
EN beaconing-løkke sikrede gentagne forsøg på forbindelse, selv i tilfælde af netværksafbrydelser.

For at bevare sit fodfæste replikerede sysProcUpdate sig selv til C:\ProgramData\sysProcUpdate.exe og ændrede Windows-registreringsdatabaseposter under DNS-cacheparametre – et tegn på mulig lateral bevægelse og forberedelse til fremtidig angreb.

Analytikere mener, at kampagnen primært fokuserede på rekognoscering og netværkskortlægning forud for mere avancerede indtrængen.

Anbefalinger til begrænsning

For at beskytte virksomheder mod denne type målrettede angreb anbefales følgende foranstaltninger:

  • Blokering af indikator: Bloker kommunikation til screenai.online og isolere dokumenter, der matcher kendte hashværdier for sysProcUpdate.
  • Makrosikkerhed: Sørg for, at Office-installationer har makroer deaktiveret som standard og kræver digital signatur for aktivering.
  • Netværksovervågning: Gennemgå udgående POST-trafik til ukendte domæner og korreler den med brugeraktivitet.
  • Gennemgang af registeret: Kontrollér regelmæssigt DNS- og TCP/IP-registreringsnøgler for uautoriserede ændringer.
  • VPN-analyse: Identificer pludselige stigninger i VPN-brug eller exit-noder, der afviger fra normale mønstre.

Ved at kombinere stærk e-mailfiltrering, proaktivt netværksforsvar og brugeruddannelse kan organisationer reducere risikoen for at blive påvirket af lignende angreb betydeligt. angreb.

Indikatorer for kompromis (IoC'er)

TypeHash / Domæne / URLFil-/ressourcenavn
Domænescreenai[.]onlineC2-domæne
URLhttps://screenai.online/Home/Hoved C2-sti
DOCb2c52fde1301a3624a9ceb995f2de4112d57fcbc6a4695799aec15af4fa0a122Online Seminar.FM.gov.om.dnr.doc
DOC1c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a11c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a1.doc
DOC2c92c7bf2d6574f9240032ec6adee738edddc2ba8d3207eb102eddf4ab963db0DPR til opmudring i FreeSpan_16082025.2.doc
DOC80e9105233f9d93df753a43291c2ab1a010375357db9327f9fe40d184f078c6bDPR til opmudring i FreeSpan_16082025.2.doc
DOCf0ba41ce46e566f83db1ba3fc762fd9b394d12a01a9cef4ac279135e4c1c67a9Seminar.Udenrigsministeriet.gov.ct.tr-1.doc
DOC02ccc4271362b92a59e6851ac6d5d2c07182064a602906d7166fe2867cc662a5Ukendt DOC-fil
E-mail (EML)05d8f686dcbb6078f91f49af779e4572ba1646a9c5629a1525e8499ab481dbf2EML2_d3ea22143ada4154bf5ea6077d7938f8.eml
E-mail (EML)03828aebefde47bca0fcf0684ecae18aedde035c85f9d39edd2b7a147a1146faEML1_b83e249519684cd2ac40ad5fcfee687d.eml
EXE76fa8dca768b64aefedd85f7d0a33c2693b94bdb55f40ced7830561e48e39c75sysProcUpdate.exe
EXE1883db6de22d98ed00f8719b11de5bf1d02fc206b89fedd6dd0df0e8d40c4c56sysProcUpdate.exe
EXE3ac8283916547c50501eed8e7c3a77f0ae8b009c7b72275be8726a5b6ae255e3sysProcUpdate.exe
EXE3d6f69cc0330b302ddf4701bbc956b8fca683d1c1b3146768dcbce4a1a3932casysProcUpdate.exe
VBS-script20e7b9dcf954660555d511a64a07996f6178f5819f8501611a521e19fbba74b0DetteDokument.cls

Hold dig opdateret med de vigtigste nyheder

Ved at trykke på knappen Abonner bekræfter du, at du har læst og accepterer vores privatlivspolitik og brugsbetingelser
  • Maciek Szczesniak var med på IT-Branschen Wire Channel Magic Chats podcast-banner
    Maciek Szczesniak optræder på IT-Branschen Wire Channel Magic Chats, hvor han diskuterer lederskab, innovation, digital transformation og forretningsservice.
    SPONSORERET

  • Cybertech Europe 2026 cybersikkerhedskonference i Rom med IT-branchen som officiel mediepartner
    Cybertech Europe 2026 er en af Europas førende cybersikkerhedskonferencer, der samler cybersikkerhedsledere, embedsmænd, teknologiske innovatorer, startups, investorer og beslutningstagere i virksomheder i Rom. IT-branchen fungerer som officiel mediepartner og leverer dækning af begivenheder, interviews med ledere, brancheindsigt og cybersikkerhedsnyheder til nordiske og europæiske publikummer.
    REKLAME

  • IT-branchens nordiske teknologimedieplatform dækker cybersikkerhed, cloud, AI, digital transformation, kanal, MSP og virksomheds-IT-nyheder
    IT-branchen er en førende nordisk teknologiplatform, der dækker nyheder om cybersikkerhed, kunstig intelligens, cloud computing, virksomheds-IT, digital transformation, administrerede tjenester, kanalpartnere, softwareudvikling, telekommunikation, datacentre, IT-infrastruktur, teknologisk lederskab, forretningsinnovation og nye teknologier. Gennem interviews med ledere, brancheanalyser, eventdækning, thought leadership, produktlanceringer, leverandøropdateringer og markedsindsigt forbinder IT-branchen teknologiske beslutningstagere, CIO'er, CISO'er, CTO'er, IT-chefer, MSP'er, forhandlere, distributører, teknologileverandører, startups og virksomhedsorganisationer i Sverige, Norge, Danmark, Finland og Europa. Dækningen omfatter cybersikkerhedstendenser, AI-adoption, cloudstrategi, virksomhedssoftware, netværk, digital infrastruktur, bæredygtighed, compliance, governance, risikostyring, automatisering, dataanalyse og fremtidig teknologisk udvikling.
    EGET INDHOLD

  • VORTIQ-X AI Governance hjælper virksomheder med at transformere AI til kontrollerbar og verificerbar forretningsværdi.
    VORTIQ-X er en AI Governance-platform, der hjælper organisationer med at styre, verificere og skabe målbar forretningsværdi fra AI. Platformen fokuserer på gennemsigtighed, compliance, AI-governance og effektiv brug af AI i missionskritiske processer.
    REKLAME