Iranische Hacker nutzen ScreenConnect, um Regierungsbehörden der VAE und Kuwaits auszuspionieren

  • Regierungsbehörden in den Vereinigten Arabischen Emiraten und Kuwait sind Ziel einer neuen Cyberspionage-Kampagne, die möglicherweise von iranischen Bedrohungsakteuren durchgeführt wird, wie neue Untersuchungen zeigen.

    Anomali schreibt die Operation der Arbeit von Static Kitten (auch bekannt als MERCURY oder MuddyWater) zu und sagt, das “Ziel dieser Aktivität ist die Installation eines Remote-Management-Tools namens ScreenConnect (erworben von ConnectWise 2015) mit einzigartigen Startparametern, die benutzerdefinierte Eigenschaften haben”, mit Malware-Samples und URLs, die sich als das Außenministerium (MOFA) von Kuwait und der Nationalrat der VAE ausgeben.

    [Blocked Image: https://thehackernews.com/images/-yilOv0DP7Dk/YArTHpth-PI/AAAAAAAA3iA/g7VKaLpC19QwAPWO3mfVUdwlEU1_TTgQgCLcBGAsYHQ/s728-e100/pwned-password-728.jpg]

    Seit seinen Anfängen im Jahr 2017 wurde MuddyWater mit einer Reihe von Angriffen in Verbindung gebracht, die sich vor allem gegen Nationen im Nahen Osten richteten. Dabei wurde die Zerologon-Schwachstelle aktiv in realen Angriffskampagnen ausgenutzt, um prominente israelische Organisationen mit bösartigen Nutzdaten anzugreifen.

    Es wird angenommen, dass die staatlich geförderte Hackergruppe auf Geheiß des Korps der Islamischen Republik Iran arbeitet, dem wichtigsten Geheimdienst und Militär des Landes.

    Anomali sagte, es entdeckte zwei separate Köder-ZIP-Dateien auf Onehub gehostet, die behaupteten, einen Bericht über die Beziehungen zwischen arabischen Ländern und Israel oder eine Datei im Zusammenhang mit Stipendien enthalten.

    [Blocked Image: https://thehackernews.com/images/-9-4C0uAwUJI/YCTYchFlwMI/AAAAAAAABvM/D9L5A8FwZKQ7nAbtB8qAHHmBy4LfiSFoQCLcBGAsYHQ/s0/hacking.jpg]

    “Die URLs, die über diese Phishing-E-Mails verteilt werden, leiten die Empfänger zu dem beabsichtigten Dateispeicherort auf Onehub, einem legitimen Dienst, von dem bekannt ist, dass er von Static Kitten für schändliche Zwecke genutzt wird”, stellten die Forscher fest und fügten hinzu: “Static Kitten nutzt Onehub weiterhin, um eine Datei mit ScreenConnect zu hosten.”

    Der Angriff beginnt damit, dass Benutzer über eine Phishing-E-Mail zu einer Downloader-URL geleitet werden, die auf diese ZIP-Dateien verweist, die, wenn sie geöffnet werden, den Installationsprozess für ScreenConnect starten und anschließend zur Kommunikation mit dem Angreifer verwendet werden. Die URLs selbst werden über in die E-Mails eingebettete Täuschungsdokumente verbreitet.

    ConnectWise Control (früher ScreenConnect genannt) ist eine selbst gehostete Remote-Desktop-Software mit Unterstützung für unbeaufsichtigten Zugriff und Besprechungen mit Bildschirmfreigabefunktionen.

    Das ultimative Ziel der Angreifer ist es offenbar, sich mit Hilfe der Software mit Endpunkten in Client-Netzwerken zu verbinden, um weitere laterale Bewegungen durchzuführen und beliebige Befehle in den Zielumgebungen auszuführen, um so den Datendiebstahl zu erleichtern.

    “Die Nutzung legitimer Software für böswillige Zwecke kann ein effektiver Weg für Bedrohungsakteure sein, ihre Operationen zu verschleiern”, so die Forscher. “In diesem jüngsten Beispiel nutzt Static Kitten höchstwahrscheinlich Funktionen von ScreenConnect, um sensible Daten zu stehlen oder Malware für weitere Cyberoperationen herunterzuladen.”

    Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com