Forscher entdecken eine neue iranische Malware, die bei aktuellen Cyberangriffen verwendet wird

Cyber Security News

Ein iranischer Bedrohungsakteur hat eine neue Cyberspionage-Kampagne gegen ein mögliches libanesisches Ziel mit einer Backdoor gestartet, die sensible Informationen aus kompromittierten Systemen exfiltrieren kann.

Die Cybersecurity-Firma Check Point führte die Operation auf APT34 zurück und verwies auf Ähnlichkeiten mit früheren Techniken des Bedrohungsakteurs sowie auf dessen Muster der Viktimologie.

APT34 (auch bekannt als OilRig) ist bekannt für seine Aufklärungskampagnen, die auf die strategischen Interessen des Irans ausgerichtet sind und in erster Linie die Finanz-, Regierungs-, Energie-, Chemie- und Telekommunikationsbranche im Nahen Osten treffen.

[Blocked Image: https://thehackernews.com/images/-CTf1MSwldzQ/YGXEz6LA-PI/AAAAAAAA3uc/rCPCs1B8hBI5fgrMcRZGit_0hHWFhVsBQCLcBGAsYHQ/s728-e100/thn-728-3.png]

Die Gruppe greift typischerweise darauf zurück, Einzelpersonen durch die Verwendung von mit Sprengfallen versehenen Dokumenten mit Jobangeboten anzugreifen, die den Opfern direkt über LinkedIn-Nachrichten zugestellt werden, und die neueste Kampagne ist keine Ausnahme, obwohl die Art der Zustellung noch unklar ist.

Das von Check Point analysierte Word-Dokument – das am 10. Januar aus dem Libanon auf VirusTotal hochgeladen wurde – behauptet, Informationen über verschiedene Positionen bei einer US-Beratungsfirma namens Ntiva IT anzubieten, nur um bei Aktivierung der eingebetteten bösartigen Makros die Infektionskette auszulösen, was schließlich zur Bereitstellung einer Backdoor namens “SideTwist” führt.

[Blocked Image: https://thehackernews.com/images/-e08sBiLuHdU/YG8FXBBrQBI/AAAAAAAACN4/IVM4h-aojNsToAt3D8QPC6_OnCpWJWILQCLcBGAsYHQ/s0/hack.jpg]

Die Backdoor sammelt nicht nur grundlegende Informationen über den Rechner des Opfers, sondern stellt auch Verbindungen zu einem entfernten Server her, um auf weitere Befehle zu warten, die es ihr ermöglichen, Dateien vom Server herunterzuladen, beliebige Dateien hochzuladen und Shell-Befehle auszuführen, deren Ergebnisse zurück an den Server gesendet werden.

[Blocked Image: https://thehackernews.com/images/-bvTgvb1scMU/YGXEzvWWDTI/AAAAAAAA3uU/FkCk24WAH8gQPV-lbOs4cDw_tp2ug151QCLcBGAsYHQ/s728-e100/thn-728-1.png]

Check Point merkt an, dass die Verwendung der neuen Backdoor auf die laufenden Bemühungen der Gruppe hinweist, ihr Nutzlast-Arsenal zu überholen und zu aktualisieren, nachdem 2019 ein Leck ihrer Hacking-Tools aufgetaucht war, bei dem auch mehrere Beamte des iranischen Geheimdienstministeriums, die an APT34-Operationen beteiligt waren, doxxed wurden.

“Die vom Iran unterstützte APT34 zeigt keine Anzeichen einer Verlangsamung und treibt ihre politische Agenda im Nahen Osten weiter voran, mit einem anhaltenden Fokus auf den Libanon – unter Verwendung offensiver Cyber-Operationen”, so die Forscher. “Während die Gruppe ihren Modus Operandi beibehält und alte Techniken wiederverwendet, entwickelt sie weiterhin neue und aktualisierte Tools, um die mögliche Entdeckung ihrer Tools durch Sicherheitsanbieter zu minimieren.”

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com