Thought Leadership
Sicherheitsforscher von Check Point Research (CPR) von Check Point Software Technologies Ltd. haben kürzlich eine ausgeklügelte Cyberattacke aufgedeckt. Sie richtet sich gegen irakische Regierungsnetzwerke, die mit staatlich unterstützten Akteuren aus dem Iran in Verbindung steht.
Die Angreifer setzten dabei hochentwickelte Malware ein, die gezielt Regierungsinstitutionen wie das Büro des irakischen Premierministers und das Außenministerium ins Visier nahm.
Die Analyse zeigt, dass der Installer der Malware das Logo des irakischen Generalsekretariats des Ministerrats trug, eine gezielte Täuschung. Zudem konnte auf den kompromittierten Servern Verbindungen zu den Domains des Büros des Premierministers und des Außenministeriums nachgewiesen werden. Die verwendete Malware weist Ähnlichkeiten zu bereits bekannten Schadprogrammen auf, die bei früheren Angriffen auf die Regierungen Jordaniens, Libanons und Pakistans eingesetzt wurden. Diese Angriffe konnten damals dem iranischen Ministerium für Nachrichtenwesen und Sicherheit (MOIS) zugeschrieben werden.
Die Cyberattacke, die sich über mehrere Monate erstreckte, machte von zwei neuen Malware-Familien Gebrauch: Veaty und Spearal. Beide sind besonders raffiniert darin, der Entdeckung durch Sicherheitsmaßnahmen zu entgehen. Veaty nutzt eine komplexe Kommunikationsstrategie, um sich mit den Command-and-Control-Servern zu verbinden, über die die Angreifer Befehle erteilen können. Dabei werden verschiedene Anmeldemethoden verwendet, um eine dauerhafte Verbindung sicherzustellen. Spearal ergänzt diese Taktik, indem es auf DNS-Tunneling setzt, eine Methode, bei der Daten über das DNS-Protokoll verschleiert übertragen werden, um traditionelle Erkennungssysteme zu umgehen.
Darüber hinaus entdeckte CPR eine weitere Malware-Variante namens CacheHttp.dll, die ebenfalls auf irakische Regierungsstellen abzielt. Diese neue Bedrohung ist darauf ausgelegt, spezifische Web-Server-Aktivitäten zu überwachen und auf bestimmte Anfragen zu reagieren.
Diese Kampagne gegen die irakische Regierungsinfrastruktur verdeutlicht die anhaltenden und zielgerichteten Bemühungen der iranischen Bedrohungsakteure in der Region. Das benutzerdefinierte Tool und die spezielle Infrastruktur, die bei dieser Operation beobachtet wurden, ähneln den Techniken, die üblicherweise APT34 zugeordnet werden, einem mit dem iranischen MOIS verbundenen Bedrohungsakteur. Der Einsatz eines benutzerdefinierten DNS-Tunneling-Protokolls und eines E-Mail-basierten C2-Kanals, der kompromittierte Konten ausnutzt, verdeutlicht die bewussten Bemühungen iranischer Akteure, spezialisierte Kommando- und Kontrollmechanismen zu entwickeln und zu unterhalten.
Dieser Angriff zeigt, wie komplex und anpassungsfähig moderne Malware geworden ist. Check Point Research betont, dass es für Regierungen und Unternehmen wichtiger als je zuvor ist, mehrschichtige Verteidigungsmechanismen einzusetzen, um sich gegen diese fortschrittlichen Bedrohungen zu schützen.
Mehr erfahren Sie im Blog.
(vp/Check Point)
