Cybereason identifiziert neue Malware-Varianten in globalen iranischen Spionagekampagnen

Neu entdeckte StrifeWater RAT und PowerLess Backdoor verdeutlichen den jüngsten Aufschwung iranischer Cyber-Offensiven

Das XDR-Unternehmen Cybereason hat mehrere, bislang nicht identifizierte Malware-Varianten entdeckt. Diese sind Bestandteil zweier separater, vom Iran unterstützter Cyberspionage-Operationen, die auf ein breites Spektrum von Organisationen in verschiedensten Regionen der Welt abzielen. Eine der Operationen setzt nach der Datenexfiltration Ransomware gegen Ziele ein, um Systeme zu schädigen und forensische Untersuchungen zu erschweren, während die andere eine Verbindung zu der kürzlich dokumentierten Ransomware Memento aufweist. Die aktuelle Recherche folgt einer Bekanntmachung der Cyber National Mission Force (CNMF) des US-Cyberkommandos, der zufolge mehrere Open-Source-Tools von iranischen Angreifern missbraucht werden. Die Cybereason-Forscher haben bei beiden untersuchten iranischen Kampagnen einen ähnlichen Missbrauch von Open-Source-Tools beobachtet.

Der StrifeWater RAT Bericht

Cybereason-Wissenschaftler konnten einen bisher nicht dokumentierten Remote-Access-Trojaner (RAT) mit dem Namen StrifeWater identifizieren. Das Unternehmen schreibt diesen dem iranischen Bedrohungsakteur Moses Staff zu. Dieser APT hat es auf Organisationen in den USA, Israel, Indien, Deutschland, Italien, den Vereinigten Arabischen Emiraten, Chile und der Türkei abgesehen, um die geostrategischen Ziele des iranischen Regimes zu fördern. Nachdem die Angreifer in ein Unternehmen eingedrungen sind und sensible Daten exfiltriert haben, setzen sie Ransomware ein, um den Betrieb zu unterbrechen und die forensische Untersuchung zu erschweren.

Zentrale Erkenntnisse:

• Neuartiger Remote Access Trojaner (RAT): Der bisher nicht dokumentierte StrifeWater RAT wird in der Anfangsphase des Befalls verwendet und später durch andere Tools ersetzt – eine Taktik, die wahrscheinlich dazu dient, dass die Malware bisher unentdeckt blieb.
• Vielfältige Fähigkeiten: Der StrifeWater RAT umfasst folgende Funktionen: Auflisten von Systemdateien, Ausführen von Systembefehlen, Erstellen von Bildschirmaufnahmen, Persistierung und Herunterladen von Updates und Zusatzmodulen.
• Staatlich unterstützte Ransomware: Moses Staff setzt Ransomware nach der Infiltration ein – nicht um finanziellen Gewinn zu erzielen, sondern um den Betrieb zu stören, Spionageaktivitäten zu verschleiern und Systeme zu beschädigen – mit dem Ziel, die geostrategischen Ziele des Irans zu fördern.

Der vollständige Bericht: StrifeWater RAT: Iranian APT Moses Staff Adds New Trojan to Ransomware Operations

Der PowerLess Backdoor Bericht

Cybereason-Wissenschaftler konnten eine neue Reihe von Tools entdecken, die von der Phosphorus-Gruppe (auch bekannt als Charming Kitten oder APT35) entwickelt wurden. Darunter befindet sich eine neuartige PowerShell-basierte Backdoor mit dem Namen PowerLess. Cybereason beobachtete auch eine IP-Adresse, die bei den Angriffen verwendet wurde und die zuvor als Teil der Command and Control (C2) Infrastruktur für die kürzlich dokumentierte Memento-Ransomware identifiziert wurde. Phosphorus ist dafür bekannt, dass es Angriffe auf medizinische und akademische Forschungseinrichtungen, Menschenrechtsaktivisten und die Medienbranche verübt, bekannte Microsoft Exchange Server-Schwachstellen ausnutzt und versuchte, die US-Wahlen zu beeinflussen.

Zentrale Erkenntnisse:

• Neuartige PowerShell Backdoor: Die bisher nicht dokumentierte Backdoor PowerLess enthält zusätzliche Payloads, darunter einen Keylogger und einen Info-Stealer.
• Schwer aufspürbare PowerShell Ausführung: Der PowerShell-Code wird im Kontext einer .NET-Anwendung ausgeführt, so dass er nicht die „powershell.exe“ startet. Dies erlaubt es ihm, Sicherheitslösungen zu umgehen.
• Modulare Malware: Das analysierte Toolset enthält extrem modulare, mehrstufige Malware, die in mehreren Schritten zusätzliche Payloads entschlüsselt und bereitstellt, um sich zu tarnen und effektiver zu sein.
• Mit Memento Ransomware gemeinsam genutzte IOCs: Eine der IP-Adressen dient einer Domain, die als Command and Control (C2) für die kürzlich entdeckte Memento Ransomware verwendet wird.
• Nutzung öffentlich verfügbarer Exploits: Die Phosphorus-Gruppe wurde bei der Ausnutzung von Schwachstellen in Microsoft Exchange (ProxyShell) und Log4j (Log4Shell) beobachtet.
• Der vollständige Bericht: PowerLess Trojan: Iranian APT Phosphorus Adds Novel PowerShell Backdoor for Espionage

„Diese Kampagnen verdeutlichen die unscharfe Grenze zwischen nationalstaatlichen Bedrohungsakteuren und anderen Cyberkriminellen. Dabei setzen Ransomware-Banden immer häufiger APT-ähnliche Taktiken ein, um ein Netzwerk so weit wie möglich zu infiltrieren, ohne entdeckt zu werden. Im Gegenzug nutzen APTs Cybercrime-Tools wie Ransomware, um abzulenken, zu zerstören und schließlich ihre Spuren zu verwischen“, so Lior Div, Mitbegründer und CEO von Cybereason. „Für Verteidiger besteht kein signifikanter Unterschied mehr zwischen nationalstaatlichen Angreifern und ausgeklügelten kriminellen Cyber-Operationen, weshalb es für uns entscheidend ist, unsere Aufklärungs- und Präventionsfähigkeiten kollektiv zu verbessern, wenn wir mit diesen Entwicklungen der Bedrohungslandschaft Schritt halten wollen.“