APT und gezielte Angriffe
MuddyWater weiterhin im Mittleren Osten aktiv
Trend Micro-Forscher entdeckten kürzlich Aktivitäten, die auf verschiedene Organisationen im Nahen Osten und angrenzenden Regionen abzielen. Sie gehen mit einiger Sicherheit davon aus, dass diese mit MuddyWater in Verbindung stehen.
Save to Folio
Originalartikel von Adi Peretz, Technical Manager, Erick Thek, Cyber Threat Intelligence Manager
Trend Micro-Forscher entdeckten kürzlich Aktivitäten, die auf verschiedene Organisationen im Nahen Osten und angrenzenden Regionen abzielen. Der Hinweis auf diese Aktivitäten kam unter anderem durch Recherchen von Anomali, deren Bedrohungsanalysten eine Kampagne identifizierten, die auf ähnliche Opfer abzielte. Die Forscher gehen mit einiger Sicherheit davon aus, dass diese neu entdeckten Aktivitäten mit MuddyWater (auch bekannt als TEMP.Zagros, Static Kitten, Seedworm) in Verbindung stehen. Außerdem konnten die Forscher die von Anomali erkannte Aktivität mit einer anhaltenden Kampagne in diesem Jahr in Verbindung bringen. Die Kampagne setzt legitime Remote Admin-Tools ein, wie etwa ScreenConnect und RemoteUtilities.
Überblick
Die Analyse zeigt, dass die Earth Vetala-Kampagne andauert und dass der Bedrohungsakteur Interessen hat, die mit dem Iran übereinzustimmen scheinen.
Earth Vetala zielt traditionell auf Länder im Nahen Osten ab. In dieser Kampagne verwendeten die Hintermänner Spearphishing-Techniken gegen Organisationen in den Vereinigten Arabischen Emiraten, Saudi-Arabien, Israel und Aserbaidschan. Die Angriffe haben Regierungsbehörden, akademische Institutionen und die Tourismusbranche im Visier.
Die Phishing-E-Mails (kommen vorgeblich von einer Regierungsbehörde) und Köderdokumente enthalten eingebettete URLs, die auf einen legitimen File-Sharing-Dienst verweisen, um zip-Archive zu verteilen, die das Remote-Admin-Tool ScreenConnect enthalten, eine legitime Anwendung für Remote-Verwaltung von Unternehmenssystemen.
Sobald auf ein Opfer zugegriffen wurde, prüften die Angreifer, ob das Benutzerkonto ein Administrator oder ein normaler Benutzer ist. Anschließend luden sie Post-Exploitation-Tools herunter, darunter Dienstprogramme zum Auslesen von Passwörtern und Prozessen, Reverse-Tunneling-Tools und benutzerdefinierte Backdoors. Die Bedrohungsakteure leiteten dann die Kommunikation mit einer zusätzlichen Command-and-Control (C&C)-Infrastruktur ein, um verschleierte PowerShell-Skripts auszuführen.
Eine ausführliche technische Analyse der Angriffe beinhaltet der Originalbeitrag.
Fazit
Earth Vetala stellt eine interessante Bedrohung dar. Die Bedrohung verfügt zwar über Fernzugriffsfunktionen, doch den Angreifern scheint es an Fachwissen zu mangeln, um alle diese Tools korrekt zu nutzen. Dies ist überraschend, da die Forscher davon ausgehen, dass dieser Angriff mit den MuddyWater-Bedrohungsakteuren in Verbindung steht – und in anderen verbundenen Kampagnen haben die Angreifer ein höheres Maß an technischem Können gezeigt.
Die Ergebnisse in diesem Bereich wurden durch die Dedicated Intelligence Research (DIR)-Analysten von Trend Micro ermöglicht. Sie unterstützen Unternehmen dabei, wichtige Entscheidungen zu treffen und die Art der Sicherheitsherausforderungen zu verstehen, die sie meistern müssen.
MITRE ATT&CK Technik-Mapping sowie Indicators of Compromise finden Sie ebenfalls im Originalbeitrag.