Ιρανοί hackers φαίνεται να είναι πίσω από μία νέα εκστρατεία κατασκοπείας, εναντίον ενός Ιορδανού διπλωμάτη, που έπεσε πρόσφατα στην αντίληψη των ερευνητών ασφαλείας.
Δείτε επίσης: «Blood is on your hands»: Hackers καταλαμβάνουν τη ρωσική τηλεόραση
Η επίθεση, που αποδίδεται στην ιρανική ομάδα hacking APT34 ή Oilrig, περιλάμβανε προηγμένες τεχνικές αντι-ανίχνευσης και αντι-ανάλυσης και είχε ορισμένα χαρακτηριστικά που υποδηλώνουν μία μακροχρόνια και προσεκτική προετοιμασία.
Οι ερευνητές ασφαλείας στη Fortinet συγκέντρωσαν στοιχεία και αντικείμενα από την επίθεση τον Μάιο του 2022 και συνέταξαν μια τεχνική έκθεση για να τονίσουν τις πιο πρόσφατες τεχνικές και μεθόδους της APT34.
Οι Ιρανοί hackers χρησιμοποίησαν ένα spear-phishing email, προσποιούμενοι έναν συνάδελφο του διπλωμάτη στην κυβέρνηση, με τη διεύθυνση ηλεκτρονικού ταχυδρομείου να έχει πλαστογραφηθεί αναλόγως.
Το email έφερε ένα κακόβουλο συνημμένο Excel, που περιείχε κώδικα μακροεντολής VBA που εκτελείται για τη δημιουργία τριών αρχείων, ενός κακόβουλου εκτελέσιμου αρχείου, ενός αρχείου διαμόρφωσης και ενός υπογεγραμμένου και καθαρού DLL. Η μακροεντολή δημιουργεί επίσης επιμονή για το κακόβουλο εκτελέσιμο αρχείο (update.exe) προσθέτοντας μια προγραμματισμένη εργασία που επαναλαμβάνεται κάθε τέσσερις ώρες.
Δείτε ακόμα: Γαλλικά νοσοκομεία στο στόχαστρο hackers – Κλάπηκαν δεδομένα
Ένα άλλο ασυνήθιστο εύρημα αφορά δύο μηχανισμούς κατά της ανάλυσης που εφαρμόζονται στη μακροεντολή: την εναλλαγή της ορατότητας φύλλων στο υπολογιστικό φύλλο και έναν έλεγχο για την ύπαρξη ποντικιού, το οποίο ενδέχεται να μην υπάρχει σε υπηρεσίες sandbox ανάλυσης κακόβουλου λογισμικού.
Το κακόβουλο εκτελέσιμο αρχείο είναι ένα δυαδικό αρχείο .NET που ελέγχει τις καταστάσεις του προγράμματος και τίθεται σε αδράνεια για οκτώ ώρες μετά την εκκίνηση. Οι αναλυτές πιστεύουν ότι οι Ιρανοί hackers όρισαν πιθανώς αυτήν την καθυστέρηση με την υπόθεση ότι ο διπλωμάτης θα άνοιγε το email το πρωί και θα έφευγε μετά από οκτώ ώρες, έτσι ώστε ο υπολογιστής να παραμείνει χωρίς επιτήρηση.
Όταν είναι ενεργό, το κακόβουλο λογισμικό επικοινωνεί με υποτομείς C2 χρησιμοποιώντας ένα εργαλείο αλγόριθμου δημιουργίας τομέα (DGA). Το DGA είναι μια ευρέως χρησιμοποιούμενη τεχνική που κάνει τις λειτουργίες κακόβουλου λογισμικού πιο ανθεκτικές στις καταργήσεις τομέα και στην καταχώριση αποκλεισμού.
Στη συνέχεια δημιουργεί μια σήραγγα DNS για να επικοινωνεί με την παρεχόμενη διεύθυνση IP. Αυτή είναι μια σπάνια τεχνική που βοηθά τους φορείς απειλών να κρυπτογραφούν τα δεδομένα που ανταλλάσσονται στο πλαίσιο αυτής της επικοινωνίας, καθιστώντας δύσκολο για τις οθόνες δικτύου να πιάσουν οτιδήποτε ύποπτο.
Δείτε επίσης: Hackers στοχεύουν κυβερνητικές υπηρεσίες της Ουκρανίας με Zimbra exploits και το IcedID malware
Στη συνέχεια, το C2 στέλνει είκοσι δύο διαφορετικές εντολές backdoor στο κακόβουλο λογισμικό, οι οποίες εκτελούνται μέσω του PowerShell ή του διερμηνέα CMD των Windows. Τέλος, η εξαγωγή των κλεμμένων δεδομένων γίνεται μέσω DNS, με τα δεδομένα ενσωματωμένα στο αίτημα, κάνοντάς το να εμφανίζεται ως τυπικό στα αρχεία καταγραφής δικτύου.
