Danny Palmer Senior Reporter
Danny Palmer är senior reporter på ZDNet. Baserad i London skriver han om frågor som cybersäkerhet, hacking och skadlig programvara.
Fullständig bio den 1 februari 2022 | Ämne: Säkerhet 
Iranska hackare riktar in sig på en rad organisationer runt om i världen i kampanjer som använder tidigare oidentifierad skadlig programvara för att utföra cyberspionage och stjäla data från offer – och i vissa fall lanserar de statsstödda angriparna också ransomware i en dubbel ansträngning för att genera offren och täcker deras spår.
De två separata kampanjerna har beskrivits av cybersäkerhetsforskare vid Cybereason, som har tillskrivit aktiviteten till en iransk hackargrupp som de spårar som Phosphorus – även känd som APT35 och Charming Kitten — tillsammans med en annan iransk-kopplad cyberoperation, kallad Moses Staff.
Attackerna från Phosphorus har ett mer “traditionellt” förhållningssätt till cyberspionage, eftersom de är utformade för att stjäla information och genomföra operationer som går i Teherans intresse.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
Gruppen misstänks för att ligga bakom flera spionerikampanjer mot organisationer och individer i USA, Europa och Mellanöstern, samt försök att störa det amerikanska presidentvalet.
Nu har Phosphorus lagt till en ny verktyg till deras arsenal, trojanska skadliga program, som forskare har kallat PowerLess Backdoor, som tillåter angripare att utföra aktivitet med liten chans att upptäckas.
När PowerLess har installerats på en komprometterad maskin tillåter angripare att ladda ner ytterligare nyttolaster och stjäla information, medan ett tangentloggningsverktyg skickar alla tangenttryckningar som användaren angett direkt till angriparen.
Analyser av PowerLess-bakdörrskampanjer verkar koppla attacker till verktyg, tekniker och motiv förknippade med fosforkampanjer. Utöver detta verkar analys av aktiviteten koppla samman fosforhotgruppen till ransomware-attacker.
En av de IP-adresser som används i kampanjerna fungerar också som en kommando- och kontrollserver för den nyligen upptäckta Momento ransomware, vilket leder till att forskare föreslår att det kan finnas en koppling mellan ransomware-attackerna och statligt stödd aktivitet.
“En koppling mellan Phosphorus och Memento ransomware hittades också genom ömsesidiga TTP-mönster och attackinfrastruktur, vilket stärkte kopplingen mellan denna tidigare otillskrivna ransomware och Phosphorus-gruppen”, står det i rapporten.
Cybereason hittade också en koppling mellan en andra iransk hackningsoperation, som heter Moses Staff, och ytterligare ransomware-attacker, som distribueras med hjälp av en annan nyligen identifierad trojansk bakdörr, kallad StrifeWater.
Trojanen används för de inledande faserna av attacken, innan den tar bort sig själv efter att ha ersatts med andra verktyg. Sättet StrifeWater tar bort sig själv relativt tidigt i infektionsprocessen är anledningen till att det inte har beskrivits tidigare.
Precis som fosfor är Moses Staffs huvudsyfte att bedriva spionage och stjäla information “för att främja Irans geopolitiska mål” med offer över hela världen, inklusive USA, Israel, Tyskland, Chile, Turkiet och Förenade Arabemiraten.
Men medan hela poängen med spionage vanligtvis är att hålla sig under radarn, distribuerar Moses Staff attacker aktivt en form av ransomware efter att de har samlat in det de behöver.
“Det är som en bränd jord-politik”, säger Assaf Dahan, chef för hotforskning vid Cybereason Nocturnus Team, till ZDNet.
Skadlig programvara attackerar på ett liknande sätt som ransomware, genom att filer krypteras och stjäls, men till skillnad från vanliga ransomware-operationer finns det inget krav på lösen – attackerna lanseras enbart med skador i åtanke. Men likheten i design med ransomware kan dra bort offer från att misstänka en spionagekampanj när de skyndar sig att bekämpa vad som ser ut som en vanlig ransomware-attack.
SE: Varför iranska hackningsoperationer kan vara ett hot mot ditt nätverk
Men även om det ser ut som ransomware, kan de bakom det har inte byggt en backend för att acceptera en lösensumma, än mindre att tillhandahålla en krypteringsnyckel.
“Deras huvudsakliga mål är att störa affärer och sprida rädsla”, sa Dahan och beskrev hur Moses Staff-attacker, även om de är statssponsrade, också verkar ta signaler från hacktivismkampanjer, med anpassad grafik och skryter om hackningsoffer.
“De försökte framstå som en aktivistgrupp som opererade på uppdrag av iranska statliga intressen”, förklarade han och tillade: “De har en hemsida och en logotyp och allt, de säger “hej, det är vi” och de De är ganska mångfacetterade och högljudda om sitt uppdrag.”
Man tror att båda kampanjerna förblir aktiva, men det finns åtgärder som organisationer kan vidta för att undvika att bli offer. Nyckeln bland dessa är att patcha mjukvara och system, eftersom attackerna är kända för att utnyttja allmänt tillgängliga exploateringar, inklusive ProxyShell-sårbarheter i Microsoft Exchange, samt Log4j-sårbarheter. Genom att tillämpa säkerhetsuppdateringar så snart som möjligt minskar det chansen att eventuella angripare ska hinna utnyttja avslöjade sårbarheter.
Det rekommenderas också att informationssäkerhetspersonal och nätverksadministratörer är proaktiva när det gäller att leta efter hot, genom att inte bara helt förstå sitt eget nätverk och kunna upptäcka om något kan vara misstänkt, utan också för att hålla sig uppdaterad med intelligens om de senaste potentiella hoten så att de vet vad de ska leta efter.
“Var proaktiv. Vänta inte bara på att en varning ska dyka upp, för när den dyker upp kan det vara för sent”, sa Dahan.
MER OM CYBERSÄKERHET
USA, Storbritannien och Australien stiftar Iran för att utnyttja Fortinet och Exchange-hålRansomware: Är festen nästan över för cyberskurkarna?
Misstänkt iransk hackningskampanj riktar sig till europeiska energiföretagEtt företag upptäckte ett säkerhetsintrång. Sedan hittade utredarna denna nya mystiska skadliga programvaraDessa hackare byggde en utarbetad onlineprofil för att lura sina mål att ladda ner skadlig programvara Security TV | Datahantering | CXO | Datacenter