Cybersikkerhedsforsker har afsløret en sofistikeret spear-phishing-kampagne med Iran-tilknytning, der udnyttede en kompromitteret e-mailkonto i Omans udenrigsministerium (MFA) i Paris. Angriberne brugte stjålne diplomatiske meddelelser og ondsindede makroer til at levere malware til regeringer og internationale organisationer verden over.
Diplomatiske lokkefugle med skadelige makroer
Angriberne kaprede en officiel e-mailkonto tilhørende det omanske udenrigsministerium i Paris og sendte beskeder, der så ud til at indeholde presserende opdateringer om multifaktorgodkendelse (MFA). Modtagere – herunder ambassader, konsulater og internationale organisationer – blev opfordret til at ”"Aktivér indhold"” at vise angiveligt legitime Word-dokumenter.

Disse dokumenter indeholdt en VBA-makrodropper, der genskabte en binær nyttelast fra trecifrede talsekvenser i et skjult formularfelt. Da dokumentet blev åbnet, startede det en firedelt kæde:
- Forsinkelse og antianalyse: En indlejret løkkerutine kaldet laylay kørte tusindvis af iterationer for at forsinke analyse og blokere sandbox-miljøer.
- Afkodning af nyttelast: Funktionen dddd fortolkede tripletter af tal til ASCII-tegn og byggede en eksekverbar binær fil.
- Lydløs udgivelse og udførelse: Den afkodede nyttelast blev skrevet til
C:\Brugere\Offentlige\Dokumenter\ManagerProc.logog blev kørt skjult via en Shell-kommando. - Vedholdenhed og oprydning: Forsinkelser og simpel fejlhåndtering skjulte eventuelle fejl og sikrede, at processen blev gennemført stille og roligt.
Denne makrobaserede forsyningskæde kombinerede numerisk kodning og tidsforsinkelser for at omgå både e-mailfiltre og dynamiske analyseværktøjer.
.webp)
Global spionage under diplomatisk dække
En retsmedicinsk analyse afslørede, at 270 spear-phishing-e-mails blev sendt fra 104 kompromitterede adresser inden for Omans MFA-netværk. Kampagnen brugte NordVPN-noder i Jordan til at maskere sin oprindelse og var målrettet seks regioner:
- Europa: 10 lande, 73 adresser
- Afrika: 12 lande, 30 adresser
- Asien: 7 lande, 25 adresser
- Mellemøsten: 7 lande, 20 adresser
- Amerika: 11 lande, 35 adresser
- Internationale organisationer: 10 lig, 12 adresser
Europa syntes at være det primære mål, men afrikanske missioner blev også hårdt ramt. Angrebene blev rettet mod flere internationale organisationer, herunder FN, UNICEF og Verdensbanken, hvilket indikerer en interesse i strategisk diplomati og humanitære netværk.
Tidspunktet for kampagnen faldt sammen med følsomme regionale forhandlinger, hvilket tyder på, at målet var at indsamle efterretninger og påvirke diplomatiske resultater.
Undvigelse, rekognoscering og næste skridt
Den eksekverbare fil, der blev droppet – kaldet sysProcUpdate – demonstrerede høj teknisk sofistikering. Den brugte brugerdefinerede undtagelseshåndteringer og sektionspakning for at gøre reverse engineering vanskelig.
Da malwaren blev aktiveret, indsamlede den systemdata såsom brugernavn, computernavn og administrativ status. Oplysningerne blev krypteret og sendt via HTTPS POST til en kommando- og kontrolserver på https://screenai.online/Home/.
EN beaconing-løkke sikrede gentagne forsøg på forbindelse, selv i tilfælde af netværksafbrydelser.
For at bevare sit fodfæste replikerede sysProcUpdate sig selv til C:\ProgramData\sysProcUpdate.exe og ændrede Windows-registreringsdatabaseposter under DNS-cacheparametre – et tegn på mulig lateral bevægelse og forberedelse til fremtidig angreb.
Analytikere mener, at kampagnen primært fokuserede på rekognoscering og netværkskortlægning forud for mere avancerede indtrængen.
Anbefalinger til begrænsning
For at beskytte virksomheder mod denne type målrettede angreb anbefales følgende foranstaltninger:
- Blokering af indikator: Bloker kommunikation til
screenai.onlineog isolere dokumenter, der matcher kendte hashværdier for sysProcUpdate. - Makrosikkerhed: Sørg for, at Office-installationer har makroer deaktiveret som standard og kræver digital signatur for aktivering.
- Netværksovervågning: Gennemgå udgående POST-trafik til ukendte domæner og korreler den med brugeraktivitet.
- Gennemgang af registeret: Kontrollér regelmæssigt DNS- og TCP/IP-registreringsnøgler for uautoriserede ændringer.
- VPN-analyse: Identificer pludselige stigninger i VPN-brug eller exit-noder, der afviger fra normale mønstre.
Ved at kombinere stærk e-mailfiltrering, proaktivt netværksforsvar og brugeruddannelse kan organisationer reducere risikoen for at blive påvirket af lignende angreb betydeligt. angreb.
Indikatorer for kompromis (IoC'er)
| Type | Hash / Domæne / URL | Fil-/ressourcenavn |
|---|---|---|
| Domæne | screenai[.]online | C2-domæne |
| URL | https://screenai.online/Home/ | Hoved C2-sti |
| DOC | b2c52fde1301a3624a9ceb995f2de4112d57fcbc6a4695799aec15af4fa0a122 | Online Seminar.FM.gov.om.dnr.doc |
| DOC | 1c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a1 | 1c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a1.doc |
| DOC | 2c92c7bf2d6574f9240032ec6adee738edddc2ba8d3207eb102eddf4ab963db0 | DPR til opmudring i FreeSpan_16082025.2.doc |
| DOC | 80e9105233f9d93df753a43291c2ab1a010375357db9327f9fe40d184f078c6b | DPR til opmudring i FreeSpan_16082025.2.doc |
| DOC | f0ba41ce46e566f83db1ba3fc762fd9b394d12a01a9cef4ac279135e4c1c67a9 | Seminar.Udenrigsministeriet.gov.ct.tr-1.doc |
| DOC | 02ccc4271362b92a59e6851ac6d5d2c07182064a602906d7166fe2867cc662a5 | Ukendt DOC-fil |
| E-mail (EML) | 05d8f686dcbb6078f91f49af779e4572ba1646a9c5629a1525e8499ab481dbf2 | EML2_d3ea22143ada4154bf5ea6077d7938f8.eml |
| E-mail (EML) | 03828aebefde47bca0fcf0684ecae18aedde035c85f9d39edd2b7a147a1146fa | EML1_b83e249519684cd2ac40ad5fcfee687d.eml |
| EXE | 76fa8dca768b64aefedd85f7d0a33c2693b94bdb55f40ced7830561e48e39c75 | sysProcUpdate.exe |
| EXE | 1883db6de22d98ed00f8719b11de5bf1d02fc206b89fedd6dd0df0e8d40c4c56 | sysProcUpdate.exe |
| EXE | 3ac8283916547c50501eed8e7c3a77f0ae8b009c7b72275be8726a5b6ae255e3 | sysProcUpdate.exe |
| EXE | 3d6f69cc0330b302ddf4701bbc956b8fca683d1c1b3146768dcbce4a1a3932ca | sysProcUpdate.exe |
| VBS-script | 20e7b9dcf954660555d511a64a07996f6178f5819f8501611a521e19fbba74b0 | DetteDokument.cls |








