Cybersecurity-onderzoeker heeft een geavanceerde spearfishingcampagne ontdekt die verband houdt met Iran. Deze campagne maakte gebruik van een gehackt e-mailaccount bij het Omaanse Ministerie van Buitenlandse Zaken (MFA) in Parijs. De aanvallers gebruikten gestolen diplomatieke communicatie en schadelijke macro's om malware te verspreiden naar overheden en internationale organisaties wereldwijd.
Diplomatieke lokmiddelen met schadelijke macro's
De aanvallers kaapten een officieel e-mailaccount van het Omaanse ministerie van Buitenlandse Zaken in Parijs en stuurden berichten die dringende updates leken te bevatten over multifactorauthenticatie (MFA). Ontvangers – waaronder ambassades, consulaten en internationale organisaties – werden opgeroepen om ”Inhoud inschakelen” om zogenaamd legitieme Word-documenten weer te geven.

Deze documenten bevatten een VBA-macrodropper die een binaire payload reconstrueerde op basis van driecijferige getallenreeksen in een verborgen formulierveld. Bij het openen van het document startte het een keten van vier delen:
- Vertraging en anti-analyse: Een geneste lusroutine genaamd laylay duizenden iteraties uitgevoerd om de analyse te vertragen en sandbox-omgevingen te blokkeren.
- Payload-decodering: De functie dddd interpreteerde drietallen van getallen in ASCII-tekens en bouwde een uitvoerbaar binair bestand.
- Stille vrijlating en executie: De gedecodeerde payload werd geschreven naar
C:\Gebruikers\Openbaar\Documenten\ManagerProc.logen werd verborgen uitgevoerd via een Shell-opdracht. - Volharding en opruimen: Door vertragingen en eenvoudige foutbehandeling bleven eventuele fouten verborgen en verliep het proces geruisloos.
Deze macrogebaseerde toeleveringsketen combineerde numerieke codering en tijdvertragingen om zowel e-mailfilters als dynamische analysehulpmiddelen te omzeilen.
.webp)
Wereldwijde spionage onder diplomatieke dekmantel
Uit forensisch onderzoek bleek dat er 270 spearphishing-e-mails werden verzonden vanaf 104 gecompromitteerde adressen binnen het MFA-netwerk van Oman. De campagne gebruikte NordVPN-knooppunten in Jordanië om de oorsprong te verhullen en richtte zich op zes regio's:
- Europa: 10 landen, 73 adressen
- Afrika: 12 landen, 30 adressen
- Azië: 7 landen, 25 adressen
- Midden-Oosten: 7 landen, 20 adressen
- Amerika: 11 landen, 35 adressen
- Internationale organisaties: 10 lichamen, 12 adressen
Europa leek het primaire doelwit, maar ook Afrikaanse missies werden zwaar getroffen. De aanvallen waren gericht op verschillende internationale organisaties, waaronder VN, UNICEF en de Wereldbank, wat duidt op een interesse in strategische diplomatie en humanitaire netwerken.
De timing van de campagne viel samen met gevoelige regionale onderhandelingen, wat suggereert dat het doel was om inlichtingen te verzamelen en diplomatieke uitkomsten te beïnvloeden.
Ontwijking, verkenning en volgende stappen
Het uitvoerbare bestand dat werd neergezet – genaamd sysProcUpdate – toonde een hoge technische verfijning. Het gebruikte aangepaste exception handlers en sectie-packing om reverse engineering moeilijk te maken.
Toen de malware werd geactiveerd, verzamelde deze systeemgegevens zoals gebruikersnaam, computernaam en beheerdersstatus. De informatie werd versleuteld en via HTTPS POST verzonden naar een command-and-control-server op https://screenai.online/Home/.
A bakenlus zorgde voor herhaaldelijke verbindingspogingen, zelfs bij netwerkuitval.
Om zijn positie te behouden, repliceerde sysProcUpdate zichzelf naar C:\ProgramData\sysProcUpdate.exe en gewijzigde Windows-registervermeldingen onder DNS-cacheparameters – een teken van mogelijke zijwaartse beweging en voorbereiding op de toekomst aanvallen.
Analisten zijn van mening dat de campagne zich vooral richtte op verkenning en netwerkkartering ter voorbereiding op geavanceerdere inbraken.
Aanbevelingen voor beperking
Om bedrijven tegen dit soort gerichte aanvallen te beschermen, worden de volgende maatregelen aanbevolen:
- Indicatorblokkering: Blokkeer communicatie naar
schermai.onlineen isoleer documenten die overeenkomen met bekende hashwaarden voor sysProcUpdate. - Macrobeveiliging: Zorg ervoor dat bij Office-installaties macro's standaard zijn uitgeschakeld en dat digitale ondertekening vereist is voor activering.
- Netwerkbewaking: Controleer uitgaand POST-verkeer naar onbekende domeinen en correleer dit met gebruikersactiviteit.
- Registerbeoordeling: Controleer regelmatig de DNS- en TCP/IP-registersleutels op ongeautoriseerde wijzigingen.
- VPN-analyse: Identificeer plotselinge pieken in VPN-gebruik of exit nodes die afwijken van normale patronen.
Door sterke e-mailfiltering, proactieve netwerkverdediging en gebruikerseducatie te combineren, kunnen organisaties het risico op soortgelijke aanvallen aanzienlijk verkleinen. aanvallen.
Indicatoren van Compromise (IoC's)
| Type | Hash / Domein / URL | Bestands-/bronnaam |
|---|---|---|
| Domein | schermai[.]online | C2-domein |
| URL | https://screenai.online/Home/ | Hoofd C2-pad |
| DOC | b2c52fde1301a3624a9ceb995f2de4112d57fcbc6a4695799aec15af4fa0a122 | Online Seminar.FM.gov.om.dnr.doc |
| DOC | 1c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a1 | 1c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a1.doc |
| DOC | 2c92c7bf2d6574f9240032ec6adee738edddc2ba8d3207eb102eddf4ab963db0 | DPR voor baggeren in FreeSpan_16082025.2.doc |
| DOC | 80e9105233f9d93df753a43291c2ab1a010375357db9327f9fe40d184f078c6b | DPR voor baggeren in FreeSpan_16082025.2.doc |
| DOC | f0ba41ce46e566f83db1ba3fc762fd9b394d12a01a9cef4ac279135e4c1c67a9 | Werkcollege.MFA.gov.ct.tr-1.doc |
| DOC | 02ccc4271362b92a59e6851ac6d5d2c07182064a602906d7166fe2867cc662a5 | Onbekend DOC-bestand |
| E-mail (EML) | 05d8f686dcbb6078f91f49af779e4572ba1646a9c5629a1525e8499ab481dbf2 | EML2_d3ea22143ada4154bf5ea6077d7938f8.eml |
| E-mail (EML) | 03828aebefde47bca0fcf0684ecae18aedde035c85f9d39edd2b7a147a1146fa | EML1_b83e249519684cd2ac40ad5fcfee687d.eml |
| EXE | 76fa8dca768b64aefedd85f7d0a33c2693b94bdb55f40ced7830561e48e39c75 | sysProcUpdate.exe |
| EXE | 1883db6de22d98ed00f8719b11de5bf1d02fc206b89fedd6dd0df0e8d40c4c56 | sysProcUpdate.exe |
| EXE | 3ac8283916547c50501eed8e7c3a77f0ae8b009c7b72275be8726a5b6ae255e3 | sysProcUpdate.exe |
| EXE | 3d6f69cc0330b302ddf4701bbc956b8fca683d1c1b3146768dcbce4a1a3932ca | sysProcUpdate.exe |
| VBS-script | 20e7b9dcf954660555d511a64a07996f6178f5819f8501611a521e19fbba74b0 | DitDocument.cls |








