Ein iranischer Bedrohungsakteur mit geopolitischer Verflechtung hat im November 2021 zwei neue gezielte Malware mit „einfachen“ Backdoor-Funktionen als Teil eines Angriffs auf eine ungenannte Regierungseinrichtung im Nahen Osten eingesetzt.
Das Cybersicherheitsunternehmen Mandiant schreibt den Angriff einem nicht kategorisierten Cluster zu, den es unter dem Namen UNC3313 verfolgt und den es mit „mäßiger Zuversicht“ mit der staatlich gesponserten Gruppe MuddyWater in Verbindung bringt.
„UNC3313 betreibt Überwachung und sammelt strategische Informationen, um iranische Interessen und Entscheidungen zu unterstützen“, so die Forscher Ryan Tomcik, Emiel Haeghebaert und Tufail Ahmed. „Die Zielmuster und die damit verbundenen Köder zeigen einen starken Fokus auf Ziele mit einem geopolitischen Bezug“.
Mitte Januar 2022 bezeichneten die US-Geheimdienste MuddyWater (auch bekannt als Static Kitten, Seedworm, TEMP.Zagros oder Mercury) als ein untergeordnetes Element des iranischen Ministeriums für Nachrichtendienst und Sicherheit (MOIS), das mindestens seit 2018 aktiv ist und von dem bekannt ist, dass es bei seinen Operationen eine breite Palette von Tools und Techniken einsetzt.
Die Angriffe sollen über Spear-Phishing-Nachrichten durchgeführt worden sein, um sich zunächst Zugang zu verschaffen. Anschließend wurden öffentlich verfügbare offensive Sicherheitstools und Fernzugriffssoftware genutzt, um sich seitlich zu bewegen und den Zugang zur Umgebung aufrechtzuerhalten.
Die Phishing-E-Mails waren mit einer Job-Bewerbung versehen und verleiteten mehrere Opfer dazu, auf eine URL zu klicken, um eine auf OneHub gehostete RAR-Archivdatei herunterzuladen, die den Weg für die Installation von ScreenConnect, einer legitimen Fernzugriffssoftware, ebnete, um Fuß zu fassen.
„UNC3313 verschaffte sich schnell einen Fernzugriff, indem er ScreenConnect nutzte, um innerhalb einer Stunde nach der ersten Kompromittierung in die Systeme einzudringen“, so die Forscher, die hinzufügten, dass der Sicherheitsvorfall schnell eingedämmt und behoben wurde.
In den folgenden Phasen des Angriffs wurden die Privilegien erweitert, interne Erkundungen im Zielnetzwerk durchgeführt und verschleierte PowerShell-Befehle ausgeführt, um zusätzliche Tools und Nutzdaten auf entfernte Systeme herunterzuladen.
Außerdem wurde eine bisher nicht dokumentierte Hintertür namens STARWHALE beobachtet, eine Windows Script File (.WSF), die Befehle ausführt, die sie von einem fest codierten Command-and-Control (C2)-Server über HTTP erhält.
Ein weiteres Implantat, das im Verlauf des Angriffs eingesetzt wurde, ist GRAMDOOR. Es wurde so genannt, weil es die Telegram-API für die Netzwerkkommunikation mit dem vom Angreifer kontrollierten Server nutzt, um der Entdeckung zu entgehen, was einmal mehr die Verwendung von Kommunikationswerkzeugen zur Erleichterung der Datenexfiltration verdeutlicht.
Die Erkenntnisse fallen auch mit einer neuen gemeinsamen Mitteilung der britischen und US-amerikanischen Cybersicherheitsbehörden zusammen, in der die MuddyWater-Gruppe beschuldigt wird, Spionageangriffe auf die Bereiche Verteidigung, Kommunalverwaltung, Erdöl und Erdgas sowie Telekommunikation auf der ganzen Welt durchzuführen.