Eine APT-Gruppe (Advanced Persistent Threat) mit Verbindungen zum Iran hat ihr Malware-Toolset mit einer neuen Backdoor namens Marlin aufgefrischt, die Teil einer seit April 2018 laufenden Spionagekampagne ist.
Das slowakische Cybersicherheitsunternehmen ESET schreibt die Angriffe – mit dem Codenamen „Out to Sea“ – einem Bedrohungsakteur namens OilRig (auch bekannt als APT34) zu und stellt gleichzeitig eine schlüssige Verbindung zu einer zweiten iranischen Gruppe her, die unter dem Namen Lyceum (Hexane alias SiameseKitten) geführt wird.
„Zu den Opfern der Kampagne gehören diplomatische Organisationen, Technologieunternehmen und medizinische Einrichtungen in Israel, Tunesien und den Vereinigten Arabischen Emiraten“, so ESET in seinem Bedrohungsbericht T3 2021, der The Hacker News vorliegt.
Die Hackergruppe ist seit mindestens 2014 aktiv und dafür bekannt, dass sie Regierungen im Nahen Osten und eine Reihe von Unternehmen aus den Bereichen Chemie, Energie, Finanzen und Telekommunikation angreift. Im April 2021 wurde ein libanesisches Unternehmen mit einem Implantat namens SideTwist ins Visier genommen, während Kampagnen, die Lyceum zugeschrieben werden, IT-Unternehmen in Israel, Marokko, Tunesien und Saudi-Arabien ins Visier genommen haben.
Die Lyceum-Infektionsketten sind auch deshalb bemerkenswert, weil sie seit dem Bekanntwerden der Kampagne im Jahr 2018 mehrere Hintertüren eingebaut haben – angefangen mit DanBot und über Shark und Milan im Jahr 2021 – bis hin zu Angriffen im August 2021, bei denen eine neue Malware namens Marlin zum Einsatz kam.
Die Veränderungen hören damit nicht auf. Im Gegensatz zu den traditionellen OilRig-TTPs, bei denen DNS und HTTPS für die Command-and-Control (C&C)-Kommunikation verwendet wurden, nutzt Marlin die OneDrive-API von Microsoft für seine C2-Operationen.
ESET stellte fest, dass der anfängliche Zugriff auf das Netzwerk über Spearphishing sowie Fernzugriffs- und -verwaltungssoftware wie ITbrain und TeamViewer erfolgte, und bezeichnete die Ähnlichkeiten der Tools und Taktiken zwischen den Hintertüren von OilRig und Lyceum als „zu zahlreich und spezifisch“.
„Die ToneDeaf-Backdoor kommuniziert hauptsächlich über HTTP/S mit ihrem C&C, hat aber eine zweite Methode, DNS-Tunneling, die nicht richtig funktioniert“, so die Forscher. „Shark weist ähnliche Symptome auf: Seine primäre Kommunikationsmethode nutzt DNS, hat aber eine nicht funktionierende sekundäre HTTP/S-Option.
ToneDeaf, das das Sammeln von Systeminformationen, das Hoch- und Herunterladen von Dateien und die Ausführung beliebiger Shell-Befehle unterstützt, ist eine Malware-Familie, die im Juli 2019 vom APT34-Akteur für eine Vielzahl von Branchen im Nahen Osten eingesetzt wurde.
Darüber hinaus wurde festgestellt, dass DNS als C&C-Kommunikationskanal genutzt wird, während HTTP/S als sekundäre Kommunikationsmethode eingesetzt wird und mehrere Ordner im Arbeitsverzeichnis einer Backdoor zum Hoch- und Herunterladen von Dateien vom C&C-Server verwendet werden.