Sicherheitsforscher haben eine ausgefeilte Cyberattacke aufgedeckt. Die Malware richtet sich gegen irakische Regierungsnetzwerke, die mit staatlich unterstützten Akteuren aus dem Iran in Verbindung stehen.
Die Analyse von Check Point Research (CPR) zeigt, dass der Installer der Malware das Logo des irakischen Generalsekretariats des Ministerrats trug, eine gezielte Täuschung. Zudem konnte auf den kompromittierten Servern Verbindungen zu den Domains des Büros des Premierministers und des Außenministeriums nachgewiesen werden. Die verwendete Malware weist Ähnlichkeiten zu bereits bekannten Schadprogrammen auf, die bei früheren Angriffen auf die Regierungen Jordaniens, Libanons und Pakistans eingesetzt wurden. Diese Angriffe konnten damals dem iranischen Ministerium für Nachrichtenwesen und Sicherheit (MOIS) zugeschrieben werden.
Malware Veaty und Spearal umgehen Sicherheitsmaßnahmen
Die Cyberattacke, die sich über mehrere Monate erstreckte, machte von zwei neuen Malware-Familien Gebrauch: Veaty und Spearal. Beide sind besonders raffiniert darin, der Entdeckung durch Sicherheitsmaßnahmen zu entgehen. Veaty nutzt eine komplexe Kommunikationsstrategie, um sich mit den Command-and-Control-Servern zu verbinden, über die die Angreifer Befehle erteilen können. Dabei werden verschiedene Anmeldemethoden verwendet, um eine dauerhafte Verbindung sicherzustellen. Spearal ergänzt diese Taktik, indem es auf DNS-Tunneling setzt, eine Methode, bei der Daten über das DNS-Protokoll verschleiert übertragen werden, um traditionelle Erkennungssysteme zu umgehen.
Darüber hinaus entdeckte CPR eine weitere Malware-Variante namens CacheHttp.dll, die ebenfalls auf irakische Regierungsstellen abzielt. Diese neue Bedrohung ist darauf ausgelegt, spezifische Web-Server-Aktivitäten zu überwachen und auf bestimmte Anfragen zu reagieren.
APT34 nutzt ähnliche Techniken
Diese Kampagne gegen die irakische Regierungsinfrastruktur verdeutlicht die anhaltenden und zielgerichteten Bemühungen der iranischen Bedrohungsakteure in der Region. Das benutzerdefinierte Tool und die spezielle Infrastruktur, die bei dieser Operation beobachtet wurden, ähneln den Techniken, die üblicherweise APT34 zugeordnet werden, einem mit dem iranischen MOIS verbundenen Bedrohungsakteur. Der Einsatz eines benutzerdefinierten DNS-Tunneling-Protokolls und eines E-Mail-basierten C2-Kanals, der kompromittierte Konten ausnutzt, verdeutlicht die bewussten Bemühungen iranischer Akteure, spezialisierte Kommando- und Kontrollmechanismen zu entwickeln und zu unterhalten.
Dieser Angriff zeigt, wie komplex und anpassungsfähig moderne Malware geworden ist. Check Point Research betont, dass es für Regierungen und Unternehmen wichtiger als je zuvor ist, mehrschichtige Verteidigungsmechanismen einzusetzen, um sich gegen diese fortschrittlichen Bedrohungen zu schützen.
Direkt zum Report auf CheckPoint.com
Über Check Point Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.