Cybertech Europe 2026 - IT-alan virallinen mediakumppani

Iraniin kytköksissä oleva keihästietojenkalastelu: hyökkääjät esiintyvät Omanin ulkoministeriönä kohdistaakseen hyökkäyksiään valtion yksiköihin

– Iraniin kytköksissä oleva keihästietojenkalastelu: hyökkääjät esiintyvät Omanin ulkoministeriönä kohdistaakseen hyökkäyksiään valtion yksiköihin | IT-ala – Iraniin kytköksissä oleva keihästietojenkalastelu: hyökkääjät esiintyvät Omanin ulkoministeriönä kohdistaakseen hyökkäyksiään valtion yksiköihin | IT-ala
Iraniin kytköksissä oleva keihästietojenkalastelu: hyökkääjät esiintyvät Omanin ulkoministeriönä kohdistaakseen hyökkäyksiä valtion yksiköihin – Julkaisija: IT-Branschen

Kyberturvallisuustutkija on paljastanut hienostuneen Iraniin kytketyn keihästietojenkalastelukampanjan, jossa hyödynnettiin Omanin ulkoministeriön (MFA) vaarantunutta sähköpostitiliä Pariisissa. Hyökkääjät käyttivät varastettuja diplomaattisia viestejä ja haitallisia makroja haittaohjelmien toimittamiseen hallituksille ja kansainvälisille järjestöille maailmanlaajuisesti.

Diplomaattiset houkutuskeinot haitallisilla makroilla

Hyökkääjät kaappasivat Omanin ulkoministeriön virallisen sähköpostitilin Pariisissa ja lähettivät viestejä, jotka näyttivät sisältävän kiireellisiä päivityksiä monivaiheisesta todennuksesta (MFA). Vastaanottajia – mukaan lukien suurlähetystöjä, konsulaatteja ja kansainvälisiä järjestöjä – kehotettiin ”"Ota sisältö käyttöön"” näyttääkseen oletettavasti laillisia Word-asiakirjoja.

Iran – Iraniin kytköksissä oleva keihästietojenkalastelu: hyökkääjät esiintyvät Omanin ulkoministeriönä kohdistaakseen hyökkäyksiään valtion yksiköihin | IT-ala

Näissä dokumenteissa oli VBA-makropistoke, joka loi binäärisen hyötykuorman uudelleen piilotetun lomakekentän kolminumeroisista lukusarjoista. Kun dokumentti avattiin, se käynnisti neliosaisen ketjun:

  • Maciek Szczesniak esiintyi IT-Branschen Wire Channel Magic Chats -podcast-bannerissa
    Maciek Szczesniak esiintyy IT-Branschen Wire Channel Magic Chats -ohjelmassa, jossa hän keskustelee johtajuudesta, innovaatioista, digitaalisesta transformaatiosta ja yrityspalveluista.
    SPONSOROITU

  • VORTIQ-X AI Governance auttaa yrityksiä muuttamaan tekoälyn hallittavaksi ja todennettavaksi liiketoiminta-arvoksi.
    VORTIQ-X on tekoälyyn perustuva hallintoalusta, joka auttaa organisaatioita hallitsemaan, varmentamaan ja luomaan mitattavaa liiketoiminta-arvoa tekoälyn avulla. Alusta keskittyy läpinäkyvyyteen, vaatimustenmukaisuuteen, tekoälyn hallintaan ja tekoälyn tehokkaaseen käyttöön kriittisissä prosesseissa.
    MAINOS

  • Pohjoismainen IT-alan teknologiamedia-alusta, joka kattaa kyberturvallisuuden, pilvipalvelut, tekoälyn, digitaalisen transformaation, kanavat, hallinnoidun palveluntarjoajan (MSP) ja yritysten IT-uutiset.
    IT-ala on johtava pohjoismainen teknologiamedia-alusta, joka kattaa kyberturvallisuusuutisia, tekoälyä, pilvipalveluita, yritysten IT-palveluita, digitaalista transformaatiota, hallinnoituja palveluita, kanavakumppaneita, ohjelmistokehitystä, televiestintää, datakeskuksia, IT-infrastruktuuria, teknologiajohtajuutta, liiketoiminnan innovaatioita ja uusia teknologioita. Johdon haastattelujen, toimiala-analyysien, tapahtumaraportoinnin, ajatusjohtajuuden, tuotelanseerausten, toimittajien päivitysten ja markkinanäkemysten avulla IT-ala yhdistää teknologiapäättäjiä, tietohallintojohtajia, teknologiajohtajia, IT-päälliköitä, MSP-palveluntarjoajia, jälleenmyyjiä, jakelijoita, teknologiatoimittajia, startup-yrityksiä ja suuryrityksiä Ruotsissa, Norjassa, Tanskassa, Suomessa ja Euroopassa. Kattavuutta ovat mm. kyberturvallisuustrendit, tekoälyn käyttöönotto, pilvistrategia, yritysohjelmistot, verkostoituminen, digitaalinen infrastruktuuri, kestävä kehitys, vaatimustenmukaisuus, hallintotapa, riskienhallinta, automaatio, data-analytiikka ja tulevaisuuden teknologiakehitys.
    OMA SISÄLTÖ

  • Cybertech Europe 2026 -kyberturvallisuuskonferenssi Roomassa, jonka virallinen mediakumppani on IT-ala
    Cybertech Europe 2026 on yksi Euroopan johtavista kyberturvallisuuskonferensseista, joka kokoaa yhteen kyberturvallisuusalan johtajia, virkamiehiä, teknologiainnovaattoreita, startup-yrityksiä, sijoittajia ja yritysmaailman päätöksentekijöitä Roomassa. IT-ala toimii virallisena mediakumppanina, joka tarjoaa tapahtumaraportointia, johtajien haastatteluja, alan näkemyksiä ja kyberturvallisuusuutisia pohjoismaiselle ja eurooppalaiselle yleisölle.
    MAINOS

  1. Viivästys ja anti-analyysi: Sisäkkäinen silmukkarutiini nimeltä kerros suoritti tuhansia iteraatioita viivästyttääkseen analyysiä ja estääkseen hiekkalaatikkoympäristöjä.
  2. Hyötykuorman dekoodaus: Toiminto dddd tulkitsi numerokolmikkoja ASCII-merkeiksi ja rakensi suoritettavan binääritiedoston.
  3. Hiljainen julkaisu ja toteutus: Dekoodattu hyötykuorma kirjoitettiin kohteeseen C:\Käyttäjät\Public\Documents\ManagerProc.log ja se suoritettiin piilotettuna Shell-komennon kautta.
  4. Pysyvyys ja puhdistus: Viivästykset ja yksinkertainen virheiden käsittely peittivät mahdolliset virheet ja varmistivat prosessin sujuvan loppuun saattamisen.

Tämä makropohjainen toimitusketju yhdisti numeerisen koodauksen ja aikaviiveet ohittaakseen sekä sähköpostisuodattimet että dynaamiset analyysityökalut.

Iran – Iraniin kytköksissä oleva keihästietojenkalastelu: hyökkääjät esiintyvät Omanin ulkoministeriönä kohdistaakseen hyökkäyksiään valtion yksiköihin | IT-ala

Maailmanlaajuista vakoilua diplomaattisen suojan alla

Oikeuslääketieteellinen analyysi paljasti, että Omanin MFA-verkon 104 vaarantuneesta osoitteesta lähetettiin 270 keihäshuijausviestiä. Kampanjassa käytettiin Jordanian NordVPN-solmuja alkuperän peittämiseen ja kohdistettiin kuuteen alueeseen:

  • Eurooppa: 10 maata, 73 osoitetta
  • Afrikka: 12 maata, 30 osoitetta
  • Aasia: 7 maata, 25 osoitetta
  • Lähi-itä: 7 maata, 20 osoitetta
  • Amerikka: 11 maata, 35 osoitetta
  • Kansainväliset järjestöt: 10 ruumista, 12 osoitetta

Eurooppa näytti olevan ensisijainen kohde, mutta myös Afrikan operaatiot kärsivät kovia iskuja. Hyökkäykset kohdistuivat useisiin kansainvälisiin järjestöihin, mukaan lukien YK, UNICEF ja Maailmanpankki, mikä osoittaa kiinnostusta strategisiin diplomatia ja humanitaarisia verkostoja.

Kampanjan ajoitus osui yksiin arkaluonteisten alueellisten neuvottelujen kanssa, mikä viittaa siihen, että tavoitteena oli kerätä tiedustelutietoa ja vaikuttaa diplomaattisiin tuloksiin.

Väistö, tiedustelu ja seuraavat vaiheet

Pudotettu suoritettava tiedosto – nimeltään sysProcUpdate – osoitti korkeaa teknistä hienostuneisuutta. Se käytti mukautettuja poikkeustenkäsittelijöitä ja osioiden pakkaamista vaikeuttaakseen takaisinmallintamista.

Kun haittaohjelma aktivoitui, se keräsi järjestelmätietoja, kuten käyttäjätunnuksen, tietokoneen nimen ja järjestelmänvalvojan tilan. Tiedot salattiin ja lähetettiin HTTPS POST -yhteyden kautta komento- ja ohjauspalvelimelle osoitteessa https://screenai.online/Home/.
A majakkasilmukka varmisti toistuvat yhteysyritykset jopa verkkokatkosten sattuessa.

Säilyttääkseen jalansijansa sysProcUpdate replikoi itsensä C:\ProgramData\sysProcUpdate.exe ja muokatut Windowsin rekisterimerkinnät DNS-välimuistiparametrien alla – merkki siitä, että mahdollinen sivuttaisliike ja tulevaisuuden varalle valmistautuminen hyökkäykset.

Analyytikot uskovat, että kampanja keskittyi ensisijaisesti tiedusteluun ja verkostokartoitukseen ennen edistyneempiä tunkeutumisia.

Suositukset rajoituksille

Yritysten suojaamiseksi tällaisilta kohdennetuilta hyökkäyksiltä suositellaan seuraavia toimenpiteitä:

  • Indikaattorin esto: Estä viestintä kohteeseen screenai.online ja eristää dokumentit, jotka vastaavat tunnettuja hash-arvoja sysProcUpdate.
  • Makroturvallisuus: Varmista, että Office-asennuksissa makrot on oletusarvoisesti poistettu käytöstä ja että aktivointi edellyttää digitaalista allekirjoitusta.
  • Verkon valvonta: Tarkista tuntemattomiin verkkotunnuksiin lähtevä POST-liikenne ja korreloi se käyttäjien aktiivisuuteen.
  • Rekisterin tarkistus: Tarkista säännöllisesti DNS- ja TCP/IP-rekisteriavaimet luvattomien muutosten varalta.
  • VPN-analyysi: Tunnista äkilliset piikit VPN-käytössä tai normaalista poikkeavat poistumissolmut.

Yhdistämällä vahvan sähköpostin suodatuksen, ennakoivat verkon suojaukset ja käyttäjien koulutuksen organisaatiot voivat merkittävästi vähentää riskiä joutua vastaavien hyökkäysten kohteeksi. hyökkäykset.

Kompromissin indikaattorit (IoC)

TyyppiHajautusarvo / Verkkotunnus / URL-osoiteTiedoston/resurssin nimi
Verkkotunnusnäytöt[.]verkossaC2-domeeni
URL-osoitehttps://screenai.online/Home/Pääasiallinen C2-polku
DOC-tiedostob2c52fde1301a3624a9ceb995f2de4112d57fcbc6a4695799aec15af4fa0a122Online-seminaari.FM.gov.om.dnr.doc
DOC-tiedosto1c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a11c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a1.doc
DOC-tiedosto2c92c7bf2d6574f9240032ec6adee738edddc2ba8d3207eb102eddf4ab963db0Ruoppauksen DPR tiedostossa FreeSpan_16082025.2.doc
DOC-tiedosto80e9105233f9d93df753a43291c2ab1a010375357db9327f9fe40d184f078c6bRuoppauksen DPR tiedostossa FreeSpan_16082025.2.doc
DOC-tiedostof0ba41ce46e566f83db1ba3fc762fd9b394d12a01a9cef4ac279135e4c1c67a9Seminaari.MFA.gov.ct.tr-1.doc
DOC-tiedosto02ccc4271362b92a59e6851ac6d5d2c07182064a602906d7166fe2867cc662a5Tuntematon DOC-tiedosto
Sähköposti (EML)05d8f686dcbb6078f91f49af779e4572ba1646a9c5629a1525e8499ab481dbf2EML2_d3ea22143ada4154bf5ea6077d7938f8.eml
Sähköposti (EML)03828aebefde47bca0fcf0684ecae18aedde035c85f9d39edd2b7a147a1146faEML1_b83e249519684cd2ac40ad5fcfee687d.eml
EXE-tiedosto76fa8dca768b64aefedd85f7d0a33c2693b94bdb55f40ced7830561e48e39c75sysProcUpdate.exe-tiedosto
EXE-tiedosto1883db6de22d98ed00f8719b11de5bf1d02fc206b89fedd6dd0df0e8d40c4c56sysProcUpdate.exe-tiedosto
EXE-tiedosto3ac8283916547c50501eed8e7c3a77f0ae8b009c7b72275be8726a5b6ae255e3sysProcUpdate.exe-tiedosto
EXE-tiedosto3d6f69cc0330b302ddf4701bbc956b8fca683d1c1b3146768dcbce4a1a3932casysProcUpdate.exe-tiedosto
VBS-skripti20e7b9dcf954660555d511a64a07996f6178f5819f8501611a521e19fbba74b0Tämä dokumentti.cls

Pysy ajan tasalla tärkeimmistä uutisista

Painamalla Tilaa-painiketta vahvistat, että olet lukenut ja hyväksyt ehdot tietosuojakäytäntö ja käyttöehdot
  • Cybertech Europe 2026 -kyberturvallisuuskonferenssi Roomassa, jonka virallinen mediakumppani on IT-ala
    Cybertech Europe 2026 on yksi Euroopan johtavista kyberturvallisuuskonferensseista, joka kokoaa yhteen kyberturvallisuusalan johtajia, virkamiehiä, teknologiainnovaattoreita, startup-yrityksiä, sijoittajia ja yritysmaailman päätöksentekijöitä Roomassa. IT-ala toimii virallisena mediakumppanina, joka tarjoaa tapahtumaraportointia, johtajien haastatteluja, alan näkemyksiä ja kyberturvallisuusuutisia pohjoismaiselle ja eurooppalaiselle yleisölle.
    MAINOS

  • Pohjoismainen IT-alan teknologiamedia-alusta, joka kattaa kyberturvallisuuden, pilvipalvelut, tekoälyn, digitaalisen transformaation, kanavat, hallinnoidun palveluntarjoajan (MSP) ja yritysten IT-uutiset.
    IT-ala on johtava pohjoismainen teknologiamedia-alusta, joka kattaa kyberturvallisuusuutisia, tekoälyä, pilvipalveluita, yritysten IT-palveluita, digitaalista transformaatiota, hallinnoituja palveluita, kanavakumppaneita, ohjelmistokehitystä, televiestintää, datakeskuksia, IT-infrastruktuuria, teknologiajohtajuutta, liiketoiminnan innovaatioita ja uusia teknologioita. Johdon haastattelujen, toimiala-analyysien, tapahtumaraportoinnin, ajatusjohtajuuden, tuotelanseerausten, toimittajien päivitysten ja markkinanäkemysten avulla IT-ala yhdistää teknologiapäättäjiä, tietohallintojohtajia, teknologiajohtajia, IT-päälliköitä, MSP-palveluntarjoajia, jälleenmyyjiä, jakelijoita, teknologiatoimittajia, startup-yrityksiä ja suuryrityksiä Ruotsissa, Norjassa, Tanskassa, Suomessa ja Euroopassa. Kattavuutta ovat mm. kyberturvallisuustrendit, tekoälyn käyttöönotto, pilvistrategia, yritysohjelmistot, verkostoituminen, digitaalinen infrastruktuuri, kestävä kehitys, vaatimustenmukaisuus, hallintotapa, riskienhallinta, automaatio, data-analytiikka ja tulevaisuuden teknologiakehitys.
    OMA SISÄLTÖ

  • VORTIQ-X AI Governance auttaa yrityksiä muuttamaan tekoälyn hallittavaksi ja todennettavaksi liiketoiminta-arvoksi.
    VORTIQ-X on tekoälyyn perustuva hallintoalusta, joka auttaa organisaatioita hallitsemaan, varmentamaan ja luomaan mitattavaa liiketoiminta-arvoa tekoälyn avulla. Alusta keskittyy läpinäkyvyyteen, vaatimustenmukaisuuteen, tekoälyn hallintaan ja tekoälyn tehokkaaseen käyttöön kriittisissä prosesseissa.
    MAINOS

  • Maciek Szczesniak esiintyi IT-Branschen Wire Channel Magic Chats -podcast-bannerissa
    Maciek Szczesniak esiintyy IT-Branschen Wire Channel Magic Chats -ohjelmassa, jossa hän keskustelee johtajuudesta, innovaatioista, digitaalisesta transformaatiosta ja yrityspalveluista.
    SPONSOROITU