Danny Palmer Senior Reporter
Danny Palmer er seniorreporter hos ZDNet. Baseret i London skriver han om problemer, herunder cybersikkerhed, hacking og malware-trusler.
Fuld bio den 1. februar 2022 | Emne: Sikkerhed 
Hvorfor de samme gamle cyberangreb stadig er så vellykkede, og hvad skal der gøres for at stoppe dem Se nu
Iranske hackere retter sig mod en række organisationer rundt om i verden i kampagner, der bruger tidligere uidentificeret malware til at udføre cyberspionagehandlinger og stjæle data fra ofre – og i nogle tilfælde lancerer de statsstøttede angribere også ransomware i en dobbelt indsats for at genere ofre og dækker deres spor.
De to separate kampagner er blevet detaljeret beskrevet af cybersikkerhedsforskere hos Cybereason, som har tilskrevet aktiviteten til en iransk hackergruppe, de sporer som Phosphorus – også kendt som APT35 og Charming Kitten — sammen med en anden iransk-tilknyttet cyberoperation, kaldet Moses Staff.
Angrebene fra Phosphorus har en mere 'traditionel' tilgang til cyberspionage, idet de er designet til at stjæle information og udføre operationer, der går i Teherans interesse.
SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)
Gruppen er mistænkt for at stå bag adskillige spionagekampagner mod organisationer og enkeltpersoner i USA, Europa og Mellemøsten, samt forsøg på at blande sig i det amerikanske præsidentvalg.
Nu har Phosphorus tilføjet en ny værktøj til deres arsenal, trojanske malware, som forskere har kaldt PowerLess Backdoor, der gør det muligt for angribere at udføre aktivitet med ringe chance for at blive opdaget.
Når det er installeret på en kompromitteret maskine, giver PowerLess angribere mulighed for at downloade yderligere nyttelast og stjæle information, mens et keylogging-værktøj sender alle de tastetryk, som brugeren har indtastet, direkte til angriberen.
Analyse af PowerLess-bagdørskampagner ser ud til at forbinde angreb med værktøjer, teknikker og motivationer forbundet med fosforkampagner. Ud over dette synes analyse af aktiviteten at forbinde Phosphorus-trusselsgruppen med ransomware-angreb.
En af de IP-adresser, der bruges i kampagnerne, fungerer også som en kommando- og kontrolserver for den nyligt opdagede Momento ransomware, hvilket får forskere til at foreslå, at der kunne være en forbindelse mellem ransomware-angrebene og statsstøttet aktivitet.
“En forbindelse mellem Phosphorus og Memento ransomware blev også fundet gennem gensidige TTP-mønstre og angrebsinfrastruktur, hvilket styrker forbindelsen mellem denne tidligere ikke-tildelte ransomware og Phosphorus-gruppen,” sagde rapporten.
Cybereason fandt også en forbindelse mellem en anden iransk hacking-operation, kaldet Moses Staff, og yderligere ransomware-angreb, som er implementeret ved hjælp af en anden nyligt identificeret trojansk bagdør, kaldet StrifeWater.
Trojanen bruges til de indledende faser af angrebet, før den fjerner sig selv efter at være blevet erstattet med andre værktøjer. Den måde, StrifeWater fjerner sig selv på relativt tidligt i infektionsprocessen, er grunden til, at det ikke er blevet detaljeret tidligere.
Ligesom fosfor er Moses Staffs hovedmål at udføre spionage og stjæle information “for at fremme Irans geopolitiske mål” med ofre over hele verden, inklusive USA, Israel, Tyskland, Chile, Tyrkiet og De Forenede Arabiske Emirater.
Men mens hele pointen med spionage normalt er at holde sig under radaren, implementerer Moses Staff-angreb aktivt en form for ransomware, efter at de har samlet det, de har brug for.
“Det er ligesom en brændt jord-politik,” sagde Assaf Dahan, leder af trusselsforskning hos Cybereason Nocturnus Team, til ZDNet.
Malwaren angriber på samme måde som ransomware, idet filer krypteres og stjæles, men i modsætning til almindelige ransomware-operationer er der ikke et krav om løsesum – angrebene lanceres udelukkende med skade i tankerne. Imidlertid kan ligheden i design med ransomware trække ofre væk fra at mistænke en spionagekampagne, da de skynder sig at bekæmpe, hvad der ligner et standard ransomware-angreb.
SE: Hvorfor iranske hacking-operationer kan være en trussel mod dit netværk
Men selvom det ligner ransomware, er dem bagved det har ikke bygget en backend til at acceptere en løsesumsbetaling, endsige at levere en krypteringsnøgle.
“Deres hovedmål er at forstyrre forretninger og sprede frygt,” sagde Dahan og beskrev, hvordan Moses Staff-angreb, mens de er statssponsorerede, også ser ud til at tage udgangspunkt i hacktivisme-kampagner med tilpasset grafik og praler om hacking-ofre.
“De forsøgte at optræde som en aktivistgruppe, der opererede på vegne af iranske statsinteresser,” forklarede han og tilføjede: “De har en hjemmeside og et logo og alt muligt, de siger 'hej, det er os', og de De er ret ordrette og vokale om deres mission.”
Det menes, at begge kampagner forbliver aktive, men der er handlinger, som organisationer kan tage i et forsøg på at undgå at blive et offer. Nøglen blandt disse er patching af software og systemer, fordi angrebene er kendt for at udnytte offentligt tilgængelige udnyttelser, herunder ProxyShell-sårbarhederne i Microsoft Exchange, såvel som Log4j-sårbarheder. Ved at anvende sikkerhedsopdateringer så hurtigt som muligt, reducerer det chancerne for, at eventuelle angribere har tid til at udnytte afslørede sårbarheder.
Det anbefales også, at informationssikkerhedspersonale og netværksadministratorer er proaktive i at lede efter trusler, ved ikke kun fuldt ud at forstå deres eget netværk og være i stand til at opdage, om noget kan være mistænkeligt, men også for at holde sig ajour med efterretninger om de seneste potentielle trusler så de ved, hvad de skal kigge efter.
“Vær proaktiv. Vent ikke bare på, at en alarm dukker op, for når den dukker op, kan det være for sent,” sagde Dahan.
MERE OM CYBERSIKKERHED
USA, Storbritannien og Australien fastholder Iran for at udnytte Fortinet- og Exchange-hullerRansomware: Er festen næsten forbi for cyberskurkene?
Mistænkt iransk hacking-kampagne retter sig mod europæiske energiselskaberEn virksomhed opdagede et sikkerhedsbrud. Derefter fandt efterforskere denne nye mystiske malwareDisse hackere byggede en omfattende onlineprofil for at narre deres mål til at downloade malware Security TV | Datastyring | CXO | Datacentre