Spear-Phishing mit Verbindungen zum Iran: Angreifer geben sich als omanisches Außenministerium aus, um Regierungsstellen anzugreifen.

Cybersicherheitsforscher hat eine ausgeklügelte, mit dem Iran in Verbindung stehende Spear-Phishing-Kampagne aufgedeckt, die ein kompromittiertes E-Mail-Konto des omanischen Außenministeriums in Paris ausnutzte. Die Angreifer verwendeten gestohlene diplomatische Korrespondenz und schädliche Makros, um Regierungen und internationale Organisationen weltweit mit Malware zu infizieren.

Diplomatische Lockvögel mit schädlichen Makros

Die Angreifer kaperten ein offizielles E-Mail-Konto des omanischen Außenministeriums in Paris und versandten Nachrichten, die offenbar dringende Informationen zur Multi-Faktor-Authentifizierung (MFA) enthielten. Empfänger – darunter Botschaften, Konsulate und internationale Organisationen – wurden aufgefordert, … ”Inhalte aktivieren” um vermeintlich legitime Word-Dokumente anzuzeigen.

Diese Dokumente enthielten einen VBA-Makro-Dropper, der aus dreistelligen Zahlenfolgen in einem ausgeblendeten Formularfeld eine Binärnutzlast erzeugte. Beim Öffnen des Dokuments wurde eine vierteilige Kette gestartet:

Werbung

1. Verzögerung und Anti-Analyse: Eine verschachtelte Schleifenroutine namens Laylay Es wurden Tausende von Iterationen durchgeführt, um die Analyse zu verzögern und Sandbox-Umgebungen zu blockieren.
2. Nutzdaten-Dekodierung: Die Funktion dddd Zahlentripel wurden in ASCII-Zeichen umgewandelt und eine ausführbare Binärdatei erstellt.
3. Stille Freigabe und Ausführung: Die dekodierte Nutzlast wurde geschrieben nach C:\Users\Public\Documents\ManagerProc.log und wurde im Hintergrund über einen Shell-Befehl ausgeführt.
4. Beharrlichkeit und Aufräumarbeiten: Verzögerungen und eine einfache Fehlerbehandlung verschleierten etwaige Fehler und stellten sicher, dass der Prozess unauffällig abgeschlossen wurde.

Diese auf Makros basierende Lieferkette kombinierte numerische Kodierung und Zeitverzögerungen, um sowohl E-Mail-Filter als auch dynamische Analysetools zu umgehen.

Globale Spionage unter diplomatischem Deckmantel

Eine forensische Analyse ergab, dass 270 Spear-Phishing-E-Mails von 104 kompromittierten Adressen innerhalb des omanischen MFA-Netzwerks versendet wurden. Die Kampagne nutzte NordVPN-Knoten in Jordanien, um ihren Ursprung zu verschleiern, und zielte auf sechs Regionen ab:

• Europa: 10 Länder, 73 Adressen
• Afrika: 12 Länder, 30 Adressen
• Asien: 7 Länder, 25 Adressen
• Naher Osten: 7 Länder, 20 Adressen
• Amerika: 11 Länder, 35 Adressen
• Internationale Organisationen: 10 Leichen, 12 Adressen

Europa schien das Hauptziel zu sein, aber auch afrikanische Missionen wurden schwer getroffen. Die Angriffe richteten sich gegen mehrere internationale Organisationen, darunter Die Vereinten Nationen, UNICEF und die Weltbank, was auf ein Interesse an strategischen Diplomatie und humanitäre Netzwerke.

Der Zeitpunkt der Kampagne fiel mit heiklen regionalen Verhandlungen zusammen, was darauf schließen lässt, dass das Ziel darin bestand, Informationen zu sammeln und diplomatische Ergebnisse zu beeinflussen.

Ausweichen, Aufklärung und nächste Schritte

Die abgelegte ausführbare Datei – genannt sysProcUpdate – wies ein hohes Maß an technischer Raffinesse auf. Es nutzte benutzerdefinierte Ausnahmebehandlungsroutinen und Abschnittspackung, um das Reverse Engineering zu erschweren.

Nach der Aktivierung der Schadsoftware wurden Systemdaten wie Benutzername, Computername und Administratorstatus erfasst. Diese Informationen wurden verschlüsselt und per HTTPS POST an einen Command-and-Control-Server gesendet. https://screenai.online/Home/.
A Leuchtfeuerschleife Gewährleistete wiederholte Verbindungsversuche auch im Falle von Netzwerkausfällen.

Um seine Position zu behaupten, replizierte sich sysProcUpdate selbst nach C:\ProgramData\sysProcUpdate.exe und geänderte Windows-Registrierungseinträge unter den DNS-Cache-Parametern – ein Zeichen dafür mögliche Seitwärtsbewegung und Vorbereitung auf zukünftige Angriffe.

Analysten gehen davon aus, dass sich die Kampagne in erster Linie auf Aufklärung und Netzwerkkartierung im Vorfeld fortgeschrittenerer Angriffe konzentrierte.

Empfehlungen zur Begrenzung

Zum Schutz von Unternehmen vor dieser Art gezielter Angriffe werden folgende Maßnahmen empfohlen:

• Indikatorblockierung: Blockieren Sie die Kommunikation mit screenai.online und Dokumente isolieren, die bekannten Hashwerten entsprechen für sysProcUpdate.
• Makrosicherheit: Stellen Sie sicher, dass bei Office-Installationen Makros standardmäßig deaktiviert sind und eine digitale Signatur zur Aktivierung erforderlich ist.
• Netzwerküberwachung: Überprüfen Sie den ausgehenden POST-Verkehr an unbekannte Domains und korrelieren Sie ihn mit der Benutzeraktivität.
• Überprüfung des Registers: Überprüfen Sie regelmäßig die DNS- und TCP/IP-Registrierungsschlüssel auf unautorisierte Änderungen.
• VPN-Analyse: Identifizieren Sie plötzliche Spitzenwerte bei der VPN-Nutzung oder Exit-Nodes, die von normalen Mustern abweichen.

Durch die Kombination von effektiver E-Mail-Filterung, proaktiven Netzwerkverteidigungsmaßnahmen und Benutzerschulungen können Organisationen das Risiko, von ähnlichen Angriffen betroffen zu sein, deutlich reduzieren. Angriffe.

Indikatoren für eine Kompromittierung (IoCs)