Iran-kopplat spear-phishing: angripare utger sig för Omans utrikesministerium för att slå mot statliga enheter

Cybersäkerhetsforskare har avslöjat en sofistikerad Iran-kopplad spear-phishingkampanj som utnyttjade ett komprometterat e-postkonto vid Omans utrikesministerium (MFA) i Paris. Angriparna använde stulna diplomatiska kommunikationer och skadliga makron för att leverera skadlig kod till myndigheter och internationella organisationer världen över.

Diplomatiska lockbeten med skadliga makron

Angriparna kapade ett officiellt e-postkonto tillhörande det omanska utrikesministeriet i Paris och skickade meddelanden som verkade innehålla brådskande uppdateringar om multifaktorautentisering (MFA). Mottagarna – bland annat ambassader, konsulat och internationella organisationer – uppmanades att ”Aktivera innehåll” för att visa påstått legitima Word-dokument.

I dessa dokument dolde sig en VBA-makrodropper som återskapade en binär nyttolast från tresiffriga nummersekvenser i ett dolt formulärfält. När dokumentet öppnades startades en fyrdelad kedja:

Annons

1. Fördröjning och antianalys: En kapslad looprutin kallad laylay körde tusentals iterationer för att fördröja analys och blockera sandlåde-miljöer.
2. Avkodning av nyttolast: Funktionen dddd tolkade tripletter av siffror till ASCII-tecken och byggde upp en körbar binärfil.
3. Tyst nedsläpp och exekvering: Den avkodade nyttolasten skrevs till C:\Users\Public\Documents\ManagerProc.log och kördes dolt via ett Shell-kommando.
4. Persistens och rensning: Fördröjningar och enkel felhantering dolde eventuella fel och säkerställde att processen fullföljdes i tysthet.

Denna makrobaserade leveranskedja kombinerade numerisk kodning och tidsfördröjningar för att kringgå både e-postfilter och dynamiska analysverktyg.

Globalt spionage med diplomatisk täckmantel

En kriminalteknisk granskning visade att 270 spear-phishingmejl hade skickats från 104 komprometterade adresser inom Omans MFA-nätverk. Kampanjen använde NordVPN-noder i Jordanien för att maskera ursprung, och målen sträckte sig över sex regioner:

• Europa: 10 länder, 73 adresser
• Afrika: 12 länder, 30 adresser
• Asien: 7 länder, 25 adresser
• Mellanöstern: 7 länder, 20 adresser
• Amerika: 11 länder, 35 adresser
• Internationella organisationer: 10 organ, 12 adresser

Europa framstod som det primära målet, men även afrikanska uppdrag utsattes hårt. Angreppen riktades mot flera internationella organisationer, bland annat FN, UNICEF och Världsbanken, vilket tyder på ett intresse för strategisk diplomati och humanitära nätverk.

Tidpunkten för kampanjen sammanföll med känsliga regionala förhandlingar, vilket antyder att syftet var att samla underrättelser och påverka diplomatiska resultat.

Undvikande, rekognoscering och nästa steg

Den körbara filen som droppades – kallad sysProcUpdate – visade hög teknisk sofistikering. Den använde anpassade undantagshanterare och sektionspackning för att försvåra reverse engineering.

När skadlig kod aktiverades samlade den in systemdata såsom användarnamn, datornamn och administrativ status. Informationen krypterades och skickades via HTTPS POST till en kommando- och kontrollserver på https://screenai.online/Home/.
En beaconing-loop säkerställde upprepade anslutningsförsök även vid nätverksavbrott.

För att bibehålla fotfäste replikerade sig sysProcUpdate till C:\ProgramData\sysProcUpdate.exe och modifierade Windows-registerposter under DNS-cacheparametrar – ett tecken på möjlig lateral förflyttning och förberedelser för framtida attacker.

Analytiker bedömer att kampanjen primärt fokuserade på rekognoscering och nätverkskartläggning inför mer avancerade intrång.

Rekommendationer för begränsning

För att skydda verksamheter mot denna typ av riktade attacker rekommenderas följande åtgärder:

• Indikatorblockering: Blockera kommunikation till screenai.online och isolera dokument som matchar kända hashvärden för sysProcUpdate.
• Makrosäkerhet: Säkerställ att Office-installationer har makron inaktiverade som standard och kräver digital signering för aktivering.
• Nätverksövervakning: Granska utgående POST-trafik till okända domäner och korrelera mot användaraktivitet.
• Registergranskning: Kontrollera regelbundet DNS- och TCP/IP-registernycklar för obehöriga ändringar.
• VPN-analys: Identifiera plötsliga toppar i VPN-användning eller utgångsnoder som avviker från normala mönster.

Genom att kombinera stark e-postfiltrering, proaktiva nätverksförsvar och användarutbildning kan organisationer avsevärt minska risken för att drabbas av liknande attacker.

Indikatorer för kompromiss (IoCs)