Kyberturvallisuustutkija on paljastanut hienostuneen Iraniin kytketyn keihästietojenkalastelukampanjan, jossa hyödynnettiin Omanin ulkoministeriön (MFA) vaarantunutta sähköpostitiliä Pariisissa. Hyökkääjät käyttivät varastettuja diplomaattisia viestejä ja haitallisia makroja haittaohjelmien toimittamiseen hallituksille ja kansainvälisille järjestöille maailmanlaajuisesti.
Diplomaattiset houkutuskeinot haitallisilla makroilla
Hyökkääjät kaappasivat Omanin ulkoministeriön virallisen sähköpostitilin Pariisissa ja lähettivät viestejä, jotka näyttivät sisältävän kiireellisiä päivityksiä monivaiheisesta todennuksesta (MFA). Vastaanottajia – mukaan lukien suurlähetystöjä, konsulaatteja ja kansainvälisiä järjestöjä – kehotettiin ”"Ota sisältö käyttöön"” näyttääkseen oletettavasti laillisia Word-asiakirjoja.

Näissä dokumenteissa oli VBA-makropistoke, joka loi binäärisen hyötykuorman uudelleen piilotetun lomakekentän kolminumeroisista lukusarjoista. Kun dokumentti avattiin, se käynnisti neliosaisen ketjun:
- Viivästys ja anti-analyysi: Sisäkkäinen silmukkarutiini nimeltä kerros suoritti tuhansia iteraatioita viivästyttääkseen analyysiä ja estääkseen hiekkalaatikkoympäristöjä.
- Hyötykuorman dekoodaus: Toiminto dddd tulkitsi numerokolmikkoja ASCII-merkeiksi ja rakensi suoritettavan binääritiedoston.
- Hiljainen julkaisu ja toteutus: Dekoodattu hyötykuorma kirjoitettiin kohteeseen
C:\Käyttäjät\Public\Documents\ManagerProc.logja se suoritettiin piilotettuna Shell-komennon kautta. - Pysyvyys ja puhdistus: Viivästykset ja yksinkertainen virheiden käsittely peittivät mahdolliset virheet ja varmistivat prosessin sujuvan loppuun saattamisen.
Tämä makropohjainen toimitusketju yhdisti numeerisen koodauksen ja aikaviiveet ohittaakseen sekä sähköpostisuodattimet että dynaamiset analyysityökalut.
.webp)
Maailmanlaajuista vakoilua diplomaattisen suojan alla
Oikeuslääketieteellinen analyysi paljasti, että Omanin MFA-verkon 104 vaarantuneesta osoitteesta lähetettiin 270 keihäshuijausviestiä. Kampanjassa käytettiin Jordanian NordVPN-solmuja alkuperän peittämiseen ja kohdistettiin kuuteen alueeseen:
- Eurooppa: 10 maata, 73 osoitetta
- Afrikka: 12 maata, 30 osoitetta
- Aasia: 7 maata, 25 osoitetta
- Lähi-itä: 7 maata, 20 osoitetta
- Amerikka: 11 maata, 35 osoitetta
- Kansainväliset järjestöt: 10 ruumista, 12 osoitetta
Eurooppa näytti olevan ensisijainen kohde, mutta myös Afrikan operaatiot kärsivät kovia iskuja. Hyökkäykset kohdistuivat useisiin kansainvälisiin järjestöihin, mukaan lukien YK, UNICEF ja Maailmanpankki, mikä osoittaa kiinnostusta strategisiin diplomatia ja humanitaarisia verkostoja.
Kampanjan ajoitus osui yksiin arkaluonteisten alueellisten neuvottelujen kanssa, mikä viittaa siihen, että tavoitteena oli kerätä tiedustelutietoa ja vaikuttaa diplomaattisiin tuloksiin.
Väistö, tiedustelu ja seuraavat vaiheet
Pudotettu suoritettava tiedosto – nimeltään sysProcUpdate – osoitti korkeaa teknistä hienostuneisuutta. Se käytti mukautettuja poikkeustenkäsittelijöitä ja osioiden pakkaamista vaikeuttaakseen takaisinmallintamista.
Kun haittaohjelma aktivoitui, se keräsi järjestelmätietoja, kuten käyttäjätunnuksen, tietokoneen nimen ja järjestelmänvalvojan tilan. Tiedot salattiin ja lähetettiin HTTPS POST -yhteyden kautta komento- ja ohjauspalvelimelle osoitteessa https://screenai.online/Home/.
A majakkasilmukka varmisti toistuvat yhteysyritykset jopa verkkokatkosten sattuessa.
Säilyttääkseen jalansijansa sysProcUpdate replikoi itsensä C:\ProgramData\sysProcUpdate.exe ja muokatut Windowsin rekisterimerkinnät DNS-välimuistiparametrien alla – merkki siitä, että mahdollinen sivuttaisliike ja tulevaisuuden varalle valmistautuminen hyökkäykset.
Analyytikot uskovat, että kampanja keskittyi ensisijaisesti tiedusteluun ja verkostokartoitukseen ennen edistyneempiä tunkeutumisia.
Suositukset rajoituksille
Yritysten suojaamiseksi tällaisilta kohdennetuilta hyökkäyksiltä suositellaan seuraavia toimenpiteitä:
- Indikaattorin esto: Estä viestintä kohteeseen
screenai.onlineja eristää dokumentit, jotka vastaavat tunnettuja hash-arvoja sysProcUpdate. - Makroturvallisuus: Varmista, että Office-asennuksissa makrot on oletusarvoisesti poistettu käytöstä ja että aktivointi edellyttää digitaalista allekirjoitusta.
- Verkon valvonta: Tarkista tuntemattomiin verkkotunnuksiin lähtevä POST-liikenne ja korreloi se käyttäjien aktiivisuuteen.
- Rekisterin tarkistus: Tarkista säännöllisesti DNS- ja TCP/IP-rekisteriavaimet luvattomien muutosten varalta.
- VPN-analyysi: Tunnista äkilliset piikit VPN-käytössä tai normaalista poikkeavat poistumissolmut.
Yhdistämällä vahvan sähköpostin suodatuksen, ennakoivat verkon suojaukset ja käyttäjien koulutuksen organisaatiot voivat merkittävästi vähentää riskiä joutua vastaavien hyökkäysten kohteeksi. hyökkäykset.
Kompromissin indikaattorit (IoC)
| Tyyppi | Hajautusarvo / Verkkotunnus / URL-osoite | Tiedoston/resurssin nimi |
|---|---|---|
| Verkkotunnus | näytöt[.]verkossa | C2-domeeni |
| URL-osoite | https://screenai.online/Home/ | Pääasiallinen C2-polku |
| DOC-tiedosto | b2c52fde1301a3624a9ceb995f2de4112d57fcbc6a4695799aec15af4fa0a122 | Online-seminaari.FM.gov.om.dnr.doc |
| DOC-tiedosto | 1c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a1 | 1c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a1.doc |
| DOC-tiedosto | 2c92c7bf2d6574f9240032ec6adee738edddc2ba8d3207eb102eddf4ab963db0 | Ruoppauksen DPR tiedostossa FreeSpan_16082025.2.doc |
| DOC-tiedosto | 80e9105233f9d93df753a43291c2ab1a010375357db9327f9fe40d184f078c6b | Ruoppauksen DPR tiedostossa FreeSpan_16082025.2.doc |
| DOC-tiedosto | f0ba41ce46e566f83db1ba3fc762fd9b394d12a01a9cef4ac279135e4c1c67a9 | Seminaari.MFA.gov.ct.tr-1.doc |
| DOC-tiedosto | 02ccc4271362b92a59e6851ac6d5d2c07182064a602906d7166fe2867cc662a5 | Tuntematon DOC-tiedosto |
| Sähköposti (EML) | 05d8f686dcbb6078f91f49af779e4572ba1646a9c5629a1525e8499ab481dbf2 | EML2_d3ea22143ada4154bf5ea6077d7938f8.eml |
| Sähköposti (EML) | 03828aebefde47bca0fcf0684ecae18aedde035c85f9d39edd2b7a147a1146fa | EML1_b83e249519684cd2ac40ad5fcfee687d.eml |
| EXE-tiedosto | 76fa8dca768b64aefedd85f7d0a33c2693b94bdb55f40ced7830561e48e39c75 | sysProcUpdate.exe-tiedosto |
| EXE-tiedosto | 1883db6de22d98ed00f8719b11de5bf1d02fc206b89fedd6dd0df0e8d40c4c56 | sysProcUpdate.exe-tiedosto |
| EXE-tiedosto | 3ac8283916547c50501eed8e7c3a77f0ae8b009c7b72275be8726a5b6ae255e3 | sysProcUpdate.exe-tiedosto |
| EXE-tiedosto | 3d6f69cc0330b302ddf4701bbc956b8fca683d1c1b3146768dcbce4a1a3932ca | sysProcUpdate.exe-tiedosto |
| VBS-skripti | 20e7b9dcf954660555d511a64a07996f6178f5819f8501611a521e19fbba74b0 | Tämä dokumentti.cls |








