Cybertech Europe 2026 - Officiële mediapartner van de IT-industrie
Abonneren

Blijf op de hoogte van het belangrijkste nieuws

Door op de knop Abonneren te klikken, bevestigt u dat u onze voorwaarden hebt gelezen en ermee akkoord gaat. privacybeleid En gebruiksvoorwaarden
Neem contact met ons op

Spear-phishing in verband met Iran: aanvallers doen zich voor als het ministerie van Buitenlandse Zaken van Oman om overheidsinstanties aan te vallen

– Spear-phishing in verband met Iran: aanvallers doen zich voor als het Ministerie van Buitenlandse Zaken van Oman om overheidsinstanties aan te vallen | IT-industrie – Spear-phishing in verband met Iran: aanvallers doen zich voor als het Ministerie van Buitenlandse Zaken van Oman om overheidsinstanties aan te vallen | IT-industrie
Spear-phishing in verband met Iran: aanvallers doen zich voor als het Ministerie van Buitenlandse Zaken van Oman om overheidsinstanties te targeten – Gepubliceerd door IT-Branschen

Cybersecurity-onderzoeker heeft een geavanceerde spearfishingcampagne ontdekt die verband houdt met Iran. Deze campagne maakte gebruik van een gehackt e-mailaccount bij het Omaanse Ministerie van Buitenlandse Zaken (MFA) in Parijs. De aanvallers gebruikten gestolen diplomatieke communicatie en schadelijke macro's om malware te verspreiden naar overheden en internationale organisaties wereldwijd.

Diplomatieke lokmiddelen met schadelijke macro's

De aanvallers kaapten een officieel e-mailaccount van het Omaanse ministerie van Buitenlandse Zaken in Parijs en stuurden berichten die dringende updates leken te bevatten over multifactorauthenticatie (MFA). Ontvangers – waaronder ambassades, consulaten en internationale organisaties – werden opgeroepen om ”Inhoud inschakelen” om zogenaamd legitieme Word-documenten weer te geven.

Iran – Spear-phishing in verband met Iran: aanvallers doen zich voor als het Ministerie van Buitenlandse Zaken van Oman om overheidsinstanties aan te vallen | IT-sector

Deze documenten bevatten een VBA-macrodropper die een binaire payload reconstrueerde op basis van driecijferige getallenreeksen in een verborgen formulierveld. Bij het openen van het document startte het een keten van vier delen:

  • Maciek Szczesniak was te zien op de podcastbanner van IT-Branschen Wire Channel Magic Chats
    Maciek Szczesniak is te gast in Magic Chats op het IT-Branschen Wire Channel, waar hij spreekt over leiderschap, innovatie, digitale transformatie en zakelijke dienstverlening.
    GESPONSORD

  • Het Scandinavische technologieplatform voor de IT-industrie, met nieuws over cybersecurity, cloud, AI, digitale transformatie, channel, MSP en enterprise IT.
    Het IT-platform is een toonaangevend Scandinavisch technologieplatform dat nieuws brengt over cybersecurity, kunstmatige intelligentie, cloud computing, enterprise IT, digitale transformatie, managed services, channel partners, softwareontwikkeling, telecommunicatie, datacenters, IT-infrastructuur, technologisch leiderschap, bedrijfsinnovatie en opkomende technologieën. Via interviews met leidinggevenden, brancheanalyses, verslaggeving van evenementen, opinies, productlanceringen, updates van leveranciers en marktinzichten verbindt het IT-platform technologiebesluitvormers, CIO's, CISO's, CTO's, IT-managers, MSP's, resellers, distributeurs, technologieleveranciers, startups en grote organisaties in Zweden, Noorwegen, Denemarken, Finland en Europa. De berichtgeving omvat cybersecuritytrends, de adoptie van AI, cloudstrategie, bedrijfssoftware, netwerken, digitale infrastructuur, duurzaamheid, compliance, governance, risicomanagement, automatisering, data-analyse en toekomstige technologische ontwikkelingen.
    EIGEN INHOUD

  • VORTIQ-X AI Governance helpt bedrijven AI om te zetten in beheersbare en verifieerbare bedrijfswaarde.
    VORTIQ-X is een AI-governanceplatform dat organisaties helpt bij het beheren, verifiëren en creëren van meetbare bedrijfswaarde met behulp van AI. Het platform richt zich op transparantie, compliance, AI-governance en het effectieve gebruik van AI in bedrijfskritische processen.
    ADVERTENTIE

  • Cybertech Europe 2026, een cybersecurityconferentie in Rome met de IT-sector als officiële mediapartner.
    Cybertech Europe 2026 is een van Europa's toonaangevende cybersecurityconferenties en brengt cybersecurityleiders, overheidsfunctionarissen, technologie-innovatoren, startups, investeerders en besluitvormers uit het bedrijfsleven samen in Rome. De IT-industrie is een officiële mediapartner en verzorgt verslaggeving van het evenement, interviews met leidinggevenden, inzichten in de sector en cybersecuritynieuws voor een Noord-Europees en Europees publiek.
    ADVERTENTIE

  1. Vertraging en anti-analyse: Een geneste lusroutine genaamd laylay duizenden iteraties uitgevoerd om de analyse te vertragen en sandbox-omgevingen te blokkeren.
  2. Payload-decodering: De functie dddd interpreteerde drietallen van getallen in ASCII-tekens en bouwde een uitvoerbaar binair bestand.
  3. Stille vrijlating en executie: De gedecodeerde payload werd geschreven naar C:\Gebruikers\Openbaar\Documenten\ManagerProc.log en werd verborgen uitgevoerd via een Shell-opdracht.
  4. Volharding en opruimen: Door vertragingen en eenvoudige foutbehandeling bleven eventuele fouten verborgen en verliep het proces geruisloos.

Deze macrogebaseerde toeleveringsketen combineerde numerieke codering en tijdvertragingen om zowel e-mailfilters als dynamische analysehulpmiddelen te omzeilen.

Iran – Spear-phishing in verband met Iran: aanvallers doen zich voor als het Ministerie van Buitenlandse Zaken van Oman om overheidsinstanties aan te vallen | IT-sector

Wereldwijde spionage onder diplomatieke dekmantel

Uit forensisch onderzoek bleek dat er 270 spearphishing-e-mails werden verzonden vanaf 104 gecompromitteerde adressen binnen het MFA-netwerk van Oman. De campagne gebruikte NordVPN-knooppunten in Jordanië om de oorsprong te verhullen en richtte zich op zes regio's:

  • Europa: 10 landen, 73 adressen
  • Afrika: 12 landen, 30 adressen
  • Azië: 7 landen, 25 adressen
  • Midden-Oosten: 7 landen, 20 adressen
  • Amerika: 11 landen, 35 adressen
  • Internationale organisaties: 10 lichamen, 12 adressen

Europa leek het primaire doelwit, maar ook Afrikaanse missies werden zwaar getroffen. De aanvallen waren gericht op verschillende internationale organisaties, waaronder VN, UNICEF en de Wereldbank, wat duidt op een interesse in strategische diplomatie en humanitaire netwerken.

De timing van de campagne viel samen met gevoelige regionale onderhandelingen, wat suggereert dat het doel was om inlichtingen te verzamelen en diplomatieke uitkomsten te beïnvloeden.

Ontwijking, verkenning en volgende stappen

Het uitvoerbare bestand dat werd neergezet – genaamd sysProcUpdate – toonde een hoge technische verfijning. Het gebruikte aangepaste exception handlers en sectie-packing om reverse engineering moeilijk te maken.

Toen de malware werd geactiveerd, verzamelde deze systeemgegevens zoals gebruikersnaam, computernaam en beheerdersstatus. De informatie werd versleuteld en via HTTPS POST verzonden naar een command-and-control-server op https://screenai.online/Home/.
A bakenlus zorgde voor herhaaldelijke verbindingspogingen, zelfs bij netwerkuitval.

Om zijn positie te behouden, repliceerde sysProcUpdate zichzelf naar C:\ProgramData\sysProcUpdate.exe en gewijzigde Windows-registervermeldingen onder DNS-cacheparameters – een teken van mogelijke zijwaartse beweging en voorbereiding op de toekomst aanvallen.

Analisten zijn van mening dat de campagne zich vooral richtte op verkenning en netwerkkartering ter voorbereiding op geavanceerdere inbraken.

Aanbevelingen voor beperking

Om bedrijven tegen dit soort gerichte aanvallen te beschermen, worden de volgende maatregelen aanbevolen:

  • Indicatorblokkering: Blokkeer communicatie naar schermai.online en isoleer documenten die overeenkomen met bekende hashwaarden voor sysProcUpdate.
  • Macrobeveiliging: Zorg ervoor dat bij Office-installaties macro's standaard zijn uitgeschakeld en dat digitale ondertekening vereist is voor activering.
  • Netwerkbewaking: Controleer uitgaand POST-verkeer naar onbekende domeinen en correleer dit met gebruikersactiviteit.
  • Registerbeoordeling: Controleer regelmatig de DNS- en TCP/IP-registersleutels op ongeautoriseerde wijzigingen.
  • VPN-analyse: Identificeer plotselinge pieken in VPN-gebruik of exit nodes die afwijken van normale patronen.

Door sterke e-mailfiltering, proactieve netwerkverdediging en gebruikerseducatie te combineren, kunnen organisaties het risico op soortgelijke aanvallen aanzienlijk verkleinen. aanvallen.

Indicatoren van Compromise (IoC's)

TypeHash / Domein / URLBestands-/bronnaam
Domeinschermai[.]onlineC2-domein
URLhttps://screenai.online/Home/Hoofd C2-pad
DOCb2c52fde1301a3624a9ceb995f2de4112d57fcbc6a4695799aec15af4fa0a122Online Seminar.FM.gov.om.dnr.doc
DOC1c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a11c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a1.doc
DOC2c92c7bf2d6574f9240032ec6adee738edddc2ba8d3207eb102eddf4ab963db0DPR voor baggeren in FreeSpan_16082025.2.doc
DOC80e9105233f9d93df753a43291c2ab1a010375357db9327f9fe40d184f078c6bDPR voor baggeren in FreeSpan_16082025.2.doc
DOCf0ba41ce46e566f83db1ba3fc762fd9b394d12a01a9cef4ac279135e4c1c67a9Werkcollege.MFA.gov.ct.tr-1.doc
DOC02ccc4271362b92a59e6851ac6d5d2c07182064a602906d7166fe2867cc662a5Onbekend DOC-bestand
E-mail (EML)05d8f686dcbb6078f91f49af779e4572ba1646a9c5629a1525e8499ab481dbf2EML2_d3ea22143ada4154bf5ea6077d7938f8.eml
E-mail (EML)03828aebefde47bca0fcf0684ecae18aedde035c85f9d39edd2b7a147a1146faEML1_b83e249519684cd2ac40ad5fcfee687d.eml
EXE76fa8dca768b64aefedd85f7d0a33c2693b94bdb55f40ced7830561e48e39c75sysProcUpdate.exe
EXE1883db6de22d98ed00f8719b11de5bf1d02fc206b89fedd6dd0df0e8d40c4c56sysProcUpdate.exe
EXE3ac8283916547c50501eed8e7c3a77f0ae8b009c7b72275be8726a5b6ae255e3sysProcUpdate.exe
EXE3d6f69cc0330b302ddf4701bbc956b8fca683d1c1b3146768dcbce4a1a3932casysProcUpdate.exe
VBS-script20e7b9dcf954660555d511a64a07996f6178f5819f8501611a521e19fbba74b0DitDocument.cls

Blijf op de hoogte van het belangrijkste nieuws

Door op de knop Abonneren te klikken, bevestigt u dat u onze voorwaarden hebt gelezen en ermee akkoord gaat. privacybeleid En gebruiksvoorwaarden
  • Maciek Szczesniak was te zien op de podcastbanner van IT-Branschen Wire Channel Magic Chats
    Maciek Szczesniak is te gast in Magic Chats op het IT-Branschen Wire Channel, waar hij spreekt over leiderschap, innovatie, digitale transformatie en zakelijke dienstverlening.
    GESPONSORD

  • Het Scandinavische technologieplatform voor de IT-industrie, met nieuws over cybersecurity, cloud, AI, digitale transformatie, channel, MSP en enterprise IT.
    Het IT-platform is een toonaangevend Scandinavisch technologieplatform dat nieuws brengt over cybersecurity, kunstmatige intelligentie, cloud computing, enterprise IT, digitale transformatie, managed services, channel partners, softwareontwikkeling, telecommunicatie, datacenters, IT-infrastructuur, technologisch leiderschap, bedrijfsinnovatie en opkomende technologieën. Via interviews met leidinggevenden, brancheanalyses, verslaggeving van evenementen, opinies, productlanceringen, updates van leveranciers en marktinzichten verbindt het IT-platform technologiebesluitvormers, CIO's, CISO's, CTO's, IT-managers, MSP's, resellers, distributeurs, technologieleveranciers, startups en grote organisaties in Zweden, Noorwegen, Denemarken, Finland en Europa. De berichtgeving omvat cybersecuritytrends, de adoptie van AI, cloudstrategie, bedrijfssoftware, netwerken, digitale infrastructuur, duurzaamheid, compliance, governance, risicomanagement, automatisering, data-analyse en toekomstige technologische ontwikkelingen.
    EIGEN INHOUD

  • Cybertech Europe 2026, een cybersecurityconferentie in Rome met de IT-sector als officiële mediapartner.
    Cybertech Europe 2026 is een van Europa's toonaangevende cybersecurityconferenties en brengt cybersecurityleiders, overheidsfunctionarissen, technologie-innovatoren, startups, investeerders en besluitvormers uit het bedrijfsleven samen in Rome. De IT-industrie is een officiële mediapartner en verzorgt verslaggeving van het evenement, interviews met leidinggevenden, inzichten in de sector en cybersecuritynieuws voor een Noord-Europees en Europees publiek.
    ADVERTENTIE

  • VORTIQ-X AI Governance helpt bedrijven AI om te zetten in beheersbare en verifieerbare bedrijfswaarde.
    VORTIQ-X is een AI-governanceplatform dat organisaties helpt bij het beheren, verifiëren en creëren van meetbare bedrijfswaarde met behulp van AI. Het platform richt zich op transparantie, compliance, AI-governance en het effectieve gebruik van AI in bedrijfskritische processen.
    ADVERTENTIE