
Neu entdeckte StrifeWater RAT und PowerLess Backdoor verdeutlichen den jüngsten Aufschwung iranischer Cyber-Offensiven
Das XDR-Unternehmen Cybereason hat mehrere, bislang nicht identifizierte Malware-Varianten entdeckt. Diese sind Bestandteil zweier separater, vom Iran unterstützter Cyberspionage-Operationen, die auf ein breites Spektrum von Organisationen in verschiedensten Regionen der Welt abzielen. Eine der Operationen setzt nach der Datenexfiltration Ransomware gegen Ziele ein, um Systeme zu schädigen und forensische Untersuchungen zu erschweren, während die andere eine Verbindung zu der kürzlich dokumentierten Ransomware Memento aufweist. Die aktuelle Recherche folgt einer Bekanntmachung der Cyber National Mission Force (CNMF) des US-Cyberkommandos, der zufolge mehrere Open-Source-Tools von iranischen Angreifern missbraucht werden. Die Cybereason-Forscher haben bei beiden untersuchten iranischen Kampagnen einen ähnlichen Missbrauch von Open-Source-Tools beobachtet.
Der StrifeWater RAT Bericht
Cybereason-Wissenschaftler konnten einen bisher nicht dokumentierten Remote-Access-Trojaner (RAT) mit dem Namen StrifeWater identifizieren. Das Unternehmen schreibt diesen dem iranischen Bedrohungsakteur Moses Staff zu. Dieser APT hat es auf Organisationen in den USA, Israel, Indien, Deutschland, Italien, den Vereinigten Arabischen Emiraten, Chile und der Türkei abgesehen, um die geostrategischen Ziele des iranischen Regimes zu fördern. Nachdem die Angreifer in ein Unternehmen eingedrungen sind und sensible Daten exfiltriert haben, setzen sie Ransomware ein, um den Betrieb zu unterbrechen und die forensische Untersuchung zu erschweren.
Zentrale Erkenntnisse:
- Neuartiger Remote Access Trojaner (RAT): Der bisher nicht dokumentierte StrifeWater RAT wird in der Anfangsphase des Befalls verwendet und später durch andere Tools ersetzt – eine Taktik, die wahrscheinlich dazu dient, dass die Malware bisher unentdeckt blieb.
- Vielfältige Fähigkeiten: Der StrifeWater RAT umfasst folgende Funktionen: Auflisten von Systemdateien, Ausführen von Systembefehlen, Erstellen von Bildschirmaufnahmen, Persistierung und Herunterladen von Updates und Zusatzmodulen.
- Staatlich unterstützte Ransomware: Moses Staff setzt Ransomware nach der Infiltration ein – nicht um finanziellen Gewinn zu erzielen, sondern um den Betrieb zu stören, Spionageaktivitäten zu verschleiern und Systeme zu beschädigen – mit dem Ziel, die geostrategischen Ziele des Irans zu fördern.
Der vollständige Bericht: StrifeWater RAT: Iranian APT Moses Staff Adds New Trojan to Ransomware Operations
Der PowerLess Backdoor Bericht
Cybereason-Wissenschaftler konnten eine neue Reihe von Tools entdecken, die von der Phosphorus-Gruppe (auch bekannt als Charming Kitten oder APT35) entwickelt wurden. Darunter befindet sich eine neuartige PowerShell-basierte Backdoor mit dem Namen PowerLess. Cybereason beobachtete auch eine IP-Adresse, die bei den Angriffen verwendet wurde und die zuvor als Teil der Command and Control (C2) Infrastruktur für die kürzlich dokumentierte Memento-Ransomware identifiziert wurde. Phosphorus ist dafür bekannt, dass es Angriffe auf medizinische und akademische Forschungseinrichtungen, Menschenrechtsaktivisten und die Medienbranche verübt, bekannte Microsoft Exchange Server-Schwachstellen ausnutzt und versuchte, die US-Wahlen zu beeinflussen.
Zentrale Erkenntnisse:
- Neuartige PowerShell Backdoor: Die bisher nicht dokumentierte Backdoor PowerLess enthält zusätzliche Payloads, darunter einen Keylogger und einen Info-Stealer.
- Schwer aufspürbare PowerShell Ausführung: Der PowerShell-Code wird im Kontext einer .NET-Anwendung ausgeführt, so dass er nicht die „powershell.exe“ startet. Dies erlaubt es ihm, Sicherheitslösungen zu umgehen.
- Modulare Malware: Das analysierte Toolset enthält extrem modulare, mehrstufige Malware, die in mehreren Schritten zusätzliche Payloads entschlüsselt und bereitstellt, um sich zu tarnen und effektiver zu sein.
- Mit Memento Ransomware gemeinsam genutzte IOCs: Eine der IP-Adressen dient einer Domain, die als Command and Control (C2) für die kürzlich entdeckte Memento Ransomware verwendet wird.
- Nutzung öffentlich verfügbarer Exploits: Die Phosphorus-Gruppe wurde bei der Ausnutzung von Schwachstellen in Microsoft Exchange (ProxyShell) und Log4j (Log4Shell) beobachtet.
- Der vollständige Bericht: PowerLess Trojan: Iranian APT Phosphorus Adds Novel PowerShell Backdoor for Espionage
„Diese Kampagnen verdeutlichen die unscharfe Grenze zwischen nationalstaatlichen Bedrohungsakteuren und anderen Cyberkriminellen. Dabei setzen Ransomware-Banden immer häufiger APT-ähnliche Taktiken ein, um ein Netzwerk so weit wie möglich zu infiltrieren, ohne entdeckt zu werden. Im Gegenzug nutzen APTs Cybercrime-Tools wie Ransomware, um abzulenken, zu zerstören und schließlich ihre Spuren zu verwischen“, so Lior Div, Mitbegründer und CEO von Cybereason. „Für Verteidiger besteht kein signifikanter Unterschied mehr zwischen nationalstaatlichen Angreifern und ausgeklügelten kriminellen Cyber-Operationen, weshalb es für uns entscheidend ist, unsere Aufklärungs- und Präventionsfähigkeiten kollektiv zu verbessern, wenn wir mit diesen Entwicklungen der Bedrohungslandschaft Schritt halten wollen.“
Fachartikel

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
