Neue Angriffe auf Luft- und Raumfahrtindustrie im Nahen Osten

Die Bedrohungsakteure UNC1549 mit Verbindungen nach Iran wurden mit mittlerer Sicherheit einer Serie neuer Angriffe zugeordnet, die sich auf die Luft- und Raumfahrt- sowie Verteidigungsindustrie im Nahen Osten konzentrieren, einschließlich Israel und den VAE.

Laut einer Analyse von Mandiant, einem Unternehmen im Besitz von Google, könnten weitere Ziele der Cyber-Spionage-Aktivitäten die Türkei, Indien und Albanien sein. UNC1549 wird auch mit den Gruppen Smoke Sandstorm (früher Bohrium) und Crimson Sandstorm (früher Curium) in Verbindung gebracht, wobei letztere als mit den iranischen Revolutionsgarden (IRGC) verbunden gilt und auch als Imperial Kitten, TA456, Tortoiseshell und Yellow Liderc bekannt ist.

Die Angriffe beinhalten die Verwendung von Microsoft Azure Cloud-Infrastruktur für Befehls- und Kontrolldienste sowie Social Engineering, um zwei Backdoors namens MINIBIKE und MINIBUS einzusetzen. Die Spear-Phishing-E-Mails verbreiten Links zu gefälschten Websites mit Israel-Hamas-bezogenem Inhalt oder gefälschten Jobangeboten, was zur Bereitstellung von schädlicher Software führt. Auch werden gefälschte Login-Seiten beobachtet, die große Unternehmen imitieren, um Anmeldedaten zu sammeln.

Die benutzerdefinierten Backdoors dienen der Sammlung von Informationen und dem Zugriff auf das Netzwerk. Ein weiteres bei diesem Vorgang eingesetztes Tool ist eine Tunneling-Software namens LIGHTRAIL, die über die Azure Cloud kommuniziert. Während MINIBIKE in C++ basiert und Dateiexfiltration, Upload und Befehlsausführung ermöglicht, dient MINIBUS als „robusterer Nachfolger“ mit erweiterten Aufklärungsfunktionen.

Das gesammelte Wissen über diese Einrichtungen ist von strategischem iranischem Interesse und kann sowohl für Spionage als auch für kinetische Operationen genutzt werden. Die angewendeten Ausweichmethoden in dieser Kampagne, insbesondere maßgeschneiderte Job-Themen-Köder in Kombination mit der Verwendung von Cloud-Infrastruktur für Befehls- und Kontrolldienste, können es Netzwerkverteidigern erschweren, diese Aktivitäten zu verhindern, zu erkennen und zu mildern.

Laut dem Global Threat Report für 2024 von CrowdStrike haben sich „Faketivisten, die mit iranischen Staatsakteuren in Verbindung stehen, und Hacktivisten, die sich als ‚pro-palästinensisch‘ bezeichnen, darauf konzentriert, die kritische Infrastruktur, israelische Luftalarm-Systeme und Aktivitäten mit Informationszwecken im Jahr 2023 anzugreifen.“ Dazu gehört auch Banished Kitten, das die BiBi-Wiper-Malware freigesetzt hat, und Vengeful Kitten, ein Alias für Moses Staff, der behauptet hat, Datenlöschaktivitäten gegen mehr als 20 Unternehmen mit industriellen Steuerungssystemen in Israel durchzuführen.

Insgesamt waren Hamas-verbundene Gegner auffällig abwesend von konfliktbezogenen Aktivitäten, was das Cybersicherheitsunternehmen auf wahrscheinliche Strom- und Internetstörungen in der Region zurückführt.