Ένα νέο κακόβουλο λογισμικό που ονομάζεται ForeLord, εντοπίστηκε από ερευνητές ασφαλείας. Όπως διαπιστώθηκε, Ιρανοί hacker το χρησιμοποιούν, για να επιτίθενται σε κυβερνητικούς οργανισμούς μέσω αρχείων MS excel.
Η ομάδα hacking από το Ιράν, γνωστή ως COBALT ULSTER ή MuddyWater, βρίσκεται πίσω από αυτή την επίθεση και πιστεύεται ότι πρόκειται για ενέργειες αντιποίνων κατά των ΗΠΑ, για τον θάνατο του Ιρανού στρατηγού Soleimani, στις 2 Ιανουαρίου 2020.
Αυτή η ομάδα, όπως έχει διαπιστωθεί από το προηγούμενο έτος, έχει εισάγει μία νέα σειρά εκμεταλλεύσεων στο οπλοστάσιό της καθώς και τακτικές, τεχνικές και διαδικασίες, ώστε να μπορεί να στοχεύσει κυβερνητικές οντότητες και τομείς τηλεπικοινωνιών.
Οι ερευνητές εντόπισαν επίσης μια σειρά κακόβουλων εκστρατειών που πραγματοποιήθηκαν από τα μέσα του 2019 έως τα μέσα Ιανουαρίου του 2020 και είχαν ως στόχο κυβερνητικές οργανώσεις στην Τουρκία, την Ιορδανία και το Ιράκ.
Τι είναι το ForeLord;
Πρόκειται για ένα trojan απομακρυσμένης πρόσβασης, που συχνά διανέμεται μέσω ενός κακόβουλου εγγράφου excel που περιέχει μια μακροεντολή με έναν μυστικό μηχανισμό που δημιουργεί persistence.
Στην αρχική φάση της επίθεσης, οι κακόβουλοι παράγοντες αποστέλλουν ηλεκτρονικά μηνύματα που παραδίδουν ένα αρχείο ZIP, το οποίο περιέχει κακόβουλα αρχεία Excel.
Αυτό το κακόβουλο αρχείο Excel χρησιμοποιείται ως μακροεντολή που βοηθά στην εγκατάσταση του ForeLord RAT, ενώ ταυτόχρονα το κακόβουλο έγγραφο χρησιμοποιεί το cmd.exe για να εκτελέσει ένα batch script ώστε να προσθέσει ένα κλειδί στο μητρώο, που θα του επιτρέψει να παραμείνει στο σύστημα ακόμα κι όταν το θύμα κάνει επανεκκίνηση.
Μόλις οι κακόβουλοι παράγοντες αποκτήσουν πρόσβαση, στην προκειμένη περίπτωση οι Ιρανοί hacker, κατεβάζουν διάφορα εργαλεία, όπως τα PasswordDumper.exe, PASS32.dll, Mimikatz και άλλα, για να συλλέξουν διαπιστευτήρια, να ελέγξουν τα διαπιστευτήρια που υπάρχουν στο δίκτυο και να δημιουργήσουν μια αντίστροφη σήραγγα SSL για να παράσχουν ένα πρόσθετο κανάλι πρόσβασης στο δίκτυο.
Συγκεκριμένα, ένα από τα εργαλεία ελέγχου διείσδυσης ανοιχτού κώδικα, γνωστό ως CredNinja.ps1, χρησιμοποιείται σε αυτήν την επίθεση για να συλλέξει διαπιστευτήρια.
Τέλος, χρησιμοποιούν ένα άλλο εργαλείο που ονομάζεται Secure Socket Funneling, ένα εργαλείο δικτύου και ένα σύνολο εργαλείων για την προώθηση κλεμμένων δεδομένων από πολλαπλές υποδοχές, μέσω μιας ενιαίας σήραγγας TLS σε έναν απομακρυσμένο υπολογιστή.
