Anfang des Monats wurde eine gezielte Phishing-Kampagne gegen Regierungsstellen am Persischen Golf und im Nahen Osten aufgedeckt. Die Kampagne nutzte die zunehmenden Spannungen in der Region nach dem Tod des iranischen Generals Qasem Suleimani auf einem Flughafen in Bagdad und verwendete E-Mails, die angeblich vom Außenministerium des Königreichs Bahrain, Saudi-Arabien und den Vereinigten Arabischen Emiraten stammten.

Die Kampagne wurde von Forschern von Blue Hexagon entdeckt und gemeldet, einem Unternehmen, das künstliche Intelligenztechniken (KI) einsetzt, um in Bildern verborgene Malware zu erkennen und im Datenverkehr versteckte Malware zu entdecken.

Die Kampagne wurde über einen seriösen E-Mail-Marketing-Anbieter geliefert. Die Malware-Nutzdaten wurden in Google Drive gespeichert und die Kommunikation über Befehle und Steuerelemente wurde über Twitter bereitgestellt. Die Verwendung legitimer öffentlicher Dienste für Malware-Angriffe nimmt unter Angreifern zu. Es hilft dem Angriff, unter dem Radar der Standarderkennung zu fliegen, hilft, die Angreifer zu verschleiern (es gibt keine Domänen-C & C-Infrastruktur, die sich mit anderen bekannten Angriffen überschneiden könnte), und es kann im Falle einer Entdeckung leicht zerlegt und an anderer Stelle wieder zusammengesetzt werden.

Dies ist keine Angriffstechnik, die mit iranischen Schauspielern in der Vergangenheit in Verbindung gebracht wurde, und ist Teil des Grundes, warum Blue Hexagon der Kampagne – trotz des Phishingköders – keine direkte Verbindung zum Iran ansieht. „Obwohl die Zuschreibung schwierig ist“, sagte Irfan Asrar, Leiter der Abteilung Cyber-Bedrohungsdaten und -Operationen bei Blue Hexagon, gegenüber SecurityWeek, „können wir mit ziemlich hoher Zuversicht sagen, dass dieser Angriff nicht aus dem Iran kommt. Es scheint sich um einen Versuch Osteuropas zu handeln.“ Akteure, um die aktuelle Situation zu nutzen, um Zugang zu wichtigen staatlichen Institutionen, einschließlich Botschaften und Regierungsbeamten, zu erhalten. “

Der Köder basiert auf dem Tod von Qasem Suleimani und den darauf folgenden Spannungen im gesamten Nahen Osten. Die anvisierten Länder können als regionale Verbündete der USA bezeichnet werden. und sind genau die Länder, die normalerweise unter iranischen „Racheangriffen“ gegen die USA leiden. Das Dokument, das den E-Mails beigefügt ist, zeigt Bilder von Suleimani und Irans traditioneller „roter Flagge der Rache“. Diese Bilder und ein Großteil des Textes sind unscharf. Das Argument lautet: „Sie sollten Rache-Angriffe aus dem Iran erwarten, Sie sollten dieses Dokument lesen, um Informationen aus dem Ministerium zu erhalten, und Sie müssen dafür Word-Funktionen aktivieren.“

Wenn diese Funktionen aktiviert sind, werden jedoch auf Google Drive gehostete schädliche Nutzdaten heruntergeladen, einschließlich einer Hintertür / RAT. „Einmal aktiviert,“ schreiben die Forscher, „wird ein in ein heruntergeladenes Dokument eingebettetes bösartiges Makro ausgeführt, um eine zusätzliche ausführbare Nutzlast herunterzuladen.“ Einer der Downloads ist ein humorvoller Cartoon mit Mr Bean (der normalerweise nicht mit einem iranischen Angreifer in Verbindung gebracht wird), der jedoch eine verschlüsselte Backdoor / RAT enthält.

„Wenn die Anzahl der heruntergeladenen Payloads verwirrend erscheint“, so die Forscher weiter, „bedenken Sie, dass der Angriff umso modularer ist, je mehr Payloads gelöscht / heruntergeladen werden. Außerdem wird dadurch die Analyse und Untersuchung des Angriffs komplizierter.“

Der verwendete Schadcode hat einige Überschneidungen mit bekannter Malware, reicht jedoch nicht aus, um die Malware oder ihre Autoren anzugeben.

Trotz der Überzeugung von Blue Hexagon, dass der Iran nicht an dem Angriff beteiligt ist, ist es erwähnenswert, dass die Motivation für die Kampagne schwierig ist. Der Ausschluss von Katar aus den Zielländern deutet auf eine politische Motivation hin, und der Iran ist dafür bekannt, dass er anstelle einer direkten Beteiligung sowohl physische als auch Cyber-Proxies einsetzt. Die Verwendung von Proxys aus Osteuropa wäre jedoch neu und ungewöhnlich.

Wie dem auch sei, die Angriffe kamen höchstwahrscheinlich aus Osteuropa und wurden von einer hoch entwickelten Gruppe durchgeführt. „Diese Leute haben definitiv Erfahrung“, sagte Asrar gegenüber SecurityWeek. „Das haben sie schon einmal gemacht, angesichts der schnellen Wende. Wir glauben, die Angriffe begannen kurz nach der ersten Januarwoche (Soleimani wurde am 2. Januar 2020 getötet). Um den 14. Januar herum haben wir begonnen, die betroffenen Menschen zu benachrichtigen, aber innerhalb weniger Tage.“ Wir begannen zu sehen, wie Teile der Infrastruktur abgebaut wurden. Es schien, als wollten sie einsteigen, Informationen einholen und ausziehen. Das allein impliziert, dass diese Leute dies schon einmal getan haben. “

Aber das ist die Natur dieser Art von Angriff. Sobald die Methodik festgelegt ist, kann sie in kürzester Zeit heruntergenommen, verschoben und zu einer neuen Kampagne zusammengestellt werden.