Iranischer Bedrohungsakteur baut großes Cyber-Operations-Infrastrukturnetzwerk auf, um saudische Organisationen anzugreifen
Klicken Sie hier , um die komplette Analyse als PDF herunterzuladen.
_Die Forscher der Insikt Group ® verwendeten proprietäre Methoden, darunter Recorded Future Network Traffic Analysis und Recorded Future Domain Analysis, zusammen mit gängigen Analysetechniken, um ein Profil des iranischen Cyberspionage-Bedrohungsakteurs APT33 (Elfin) zu erstellen und festzustellen, ob die öffentliche Enthüllung ihrer TTPs im März 2019 Auswirkungen auf ihre Operationen hatte.
Zu den Datenquellen gehören die Recorded Future ® -Plattform, DNSDB von Farsight Security, ReversingLabs, VirusTotal, Shodan und gängige OSINT-Techniken.
Dieser Bericht dürfte vor allem für diejenigen von Interesse sein, die sich für die Geopolitik des Nahen Ostens interessieren, sowie für die Netzwerkverteidiger von Organisationen mit Präsenz im Nahen Osten oder in von APT33 ins Visier genommenen Branchen wie Luft- und Raumfahrt und Verteidigung, Energie, Finanzen, Telekommunikation und Fertigung.
Diese Untersuchung basiert auf Daten, die zwischen dem 10. Februar 2019 und dem 6. Juni 2019 erhoben wurden._
Executive Summary
Die Spannungen zwischen den USA und dem Iran eskalieren weiterhin. Zuletzt haben sich Rhetorik und Aktionen in der Straße von Hormus, aber auch im Cyberbereich verschärft. In den letzten drei Monaten konnte die Insikt Group von Recorded Future eine Zunahme der Infrastrukturaufbau- und Angriffsaktivitäten von APT33 (auch bekannt als Elfin) beobachten, und am 21. Juni 2019 berichtete Yahoo! News , dass das US Cyber Command Cyberangriffe auf eine „iranische Spionagegruppe“ gestartet habe.
Der vom iranischen Staat gesponserte Bedrohungsakteur APT33 betreibt mindestens seit 2013 Cyberspionage-Aktivitäten und zielt dabei überwiegend auf Länder im Nahen Osten ab, insbesondere aber auf US-amerikanische, südkoreanische und europäische Handelsunternehmen in einer Vielzahl von Sektoren.
Die Forscher der Insikt Group verwendeten proprietäre Methoden, darunter Recorded Future Domain Analysis und Recorded Future Network Traffic Analysis, sowie andere gängige Analyseansätze, um ein Profil der Domain und der Hosting-Infrastruktur des kürzlich gemeldeten iranischen Bedrohungsakteurs APT33 zu erstellen, um die jüngsten Aktivitäten zu identifizieren und die Taktiken, Techniken und Verfahren (TTPs) der Gruppe besser zu verstehen.
Unsere Untersuchungen haben ergeben, dass APT33 oder ein eng verbündeter Bedrohungsakteur weiterhin groß angelegte Cyberspionage-Aktivitäten durchführt und sich darauf vorbereitet. Seit dem 28. März 2019 wurden dabei über 1.200 Domänen verwendet, wobei der Schwerpunkt auf der Verwendung gängiger Malware liegt. Commodity-Malware ist eine attraktive Option für staatliche Bedrohungsakteure, die Computernetzwerkoperationen im großen Maßstab durchführen und sich dabei im Lärm der Aktivitäten anderer Bedrohungsakteure verstecken möchten, um so deren Zuordnung zu erschweren.
Dass vor allem saudi-arabische Organisationen in einer großen Bandbreite von Branchen ins Visier genommen werden , entspricht den historischen Angriffsmustern der Gruppe, die sich auch nach früheren Enthüllungen ihrer Aktivitäten nicht abschrecken lässt. Westliche und saudische Organisationen – sowohl im öffentlichen als auch im privaten Sektor – in Branchen, die in der Vergangenheit Ziel von APT33 waren, sollten die geopolitischen Entwicklungen beobachten und die operativen Sicherheitskontrollen genauer unter die Lupe nehmen. Dabei sollte der Schwerpunkt auf der Erkennung und Behebung des ersten unbefugten Zugriffs liegen, insbesondere durch Phishing-Kampagnen, Webshells und Beziehungen zu Drittanbietern (Händlern und Lieferanten). Darüber hinaus sollten Echtzeit-Sicherheitsinformationen genutzt werden, um die Suche in der internen Netzwerk- und Host-basierten Telemetrie zu verbessern.
Wichtige Urteile
Als Reaktion auf die Veröffentlichung der Vorgänge Ende März 2019 wurden mit mutmaßlichen APT33-Aktivitäten verbundene Domains geparkt oder zu neuen Hosting-Anbietern übertragen.
APT33 oder ein eng verbündeter Bedrohungsakteur kontrolliert weiterhin große Mengen von C2-Domänen.
- Allein seit dem 28. März 2019 sind über 1.200 Domains im Einsatz.
- Bei 728 davon wurde eine Kommunikation mit infizierten Hosts festgestellt.
- Bei 575 der 728 Domänen wurde eine Kommunikation mit Hosts beobachtet, die mit einem von 19 überwiegend öffentlich verfügbaren RATs infiziert waren.
Fast 60 % der verdächtigen APT33-Domänen, die Malware-Familien zugeordnet wurden, standen im Zusammenhang mit Infektionen mit njRAT, einem RAT, das zuvor nicht mit APT33-Aktivitäten in Verbindung gebracht wurde. Auch andere gängige RAT-Malware-Familien wie AdwindRAT und RevengeRAT wurden mit mutmaßlicher APT33-Domänenaktivität in Verbindung gebracht.
Wir gehen mit mittlerer Sicherheit davon aus, dass APT33 oder ein eng verbündeter Bedrohungsakteur seit den Enthüllungen Ende März die folgenden Organisationen ins Visier genommen hat:
- Ein Konglomerat mit Hauptsitz in Saudi-Arabien, mit Unternehmen in den Bereichen Ingenieurwesen und Bauwesen, Versorgungswirtschaft, Technologie, Einzelhandel, Luftfahrt und Finanzen
- Zwei saudische Gesundheitsorganisationen
- Ein saudisches Unternehmen in der Metallindustrie
- Ein indisches Massenmedienunternehmen
- Eine Delegation einer diplomatischen Institution
Wir gehen davon aus, dass es bei der jüngsten Berichterstattung über Verbindungen zwischen dem Nasr Institute und der Kavosh Security Group sowie bei den technischen und personenbezogenen Analysen Überschneidungen zwischen APT33, APT35 und MUDDYWATER gibt und dass dies wahrscheinlich auf die mehrstufige Struktur zurückzuführen ist, die der Iran zur Steuerung seiner Cyberoperationen nutzt.
Hintergrund
APT33 ist ein vom iranischen Staat gesponserter Bedrohungsakteur, der seit mindestens 2013 Cyberspionage betreibt. Sie verwenden in der Regel handelsübliche Schadsoftware und verfügen über eine ausgedehnte Netzwerkinfrastruktur , die es ihnen ermöglicht, ihre Operationen auf gezielte Angriffe auf ihre Opfer auszuweiten. In der Vergangenheit konzentrierten sich diese Angriffe auf die Luft- und Raumfahrtindustrie, die Rüstungsindustrie sowie die Öl- und Gasindustrie, wobei ein besonderer Schwerpunkt auf Unternehmen mit Sitz in Saudi-Arabien lag. Der Elfin-Bericht von Symantec deutete darauf hin, dass die Sektoren Maschinenbau, Chemie, Forschung, Finanzen, IT und Gesundheitswesen zusätzlich ins Visier genommen wurden. Die Insikt Group von Recorded Future überwacht die Aktivitäten von APT33 seit einer im Oktober 2017 veröffentlichten Studie, die neue Infrastrukturen, Malware-Hashes und TTPs im Zusammenhang mit den Bedrohungsakteuren enthüllte.
Bedrohungsanalyse
Am 27. März 2019 veröffentlichte Symantec eine Studie mit dem Titel „ Elfin: Relentless Espionage Group Targets Multiple Organizations in Saudi Arabia and US“. Der Bericht beschreibt eine dreijährige APT33-Cyberspionagekampagne. Mithilfe der in dieser Untersuchung ermittelten IP-Adressen und Malware-Hashes führten die Forscher der Insikt Group eine Folgeanalyse der von APT33 verwendeten Schaddomänen durch und stellten dabei zwei Dinge fest:
- Ob APT33 seine Aktivitäten fortgesetzt hatte und wenn ja, ob sie als Reaktion auf die Veröffentlichung die TTPs geändert hatten
- Ob es bisher unveröffentlichte historische Aktivitäten der Gruppe gab, die einer Veröffentlichung wert waren.
Nasr Institute und Kavosh Redux
In unserem vorherigen Bericht „ Irans Hacker-Hierarchie aufgedeckt“ kamen wir zu dem Schluss, dass die Aufdeckung des Nasr Institute, eines APT33-Auftragnehmers, durch FireEye im Jahr 2017, zusammen mit unseren Informationen über die Zusammensetzung und die Motivationen der iranischen Hacker-Community auf eine mehrstufige Struktur innerhalb des vom Staat Iran geförderten offensiven Cyber-Programms hindeutet. Wir sind zu dem Schluss gekommen, dass viele vom iranischen Staat geförderte Operationen vom Korps der Iranischen Revolutionsgarde (IRGC) oder dem Ministerium für Geheimdienst und Sicherheit (MOIS) geleitet wurden.
Einer vertraulichen Quelle der Insikt Group zufolge, die Informationen für frühere Untersuchungen lieferte, beschäftigten diese Organisationen eine mittlere Ebene ideologisch ausgerichteter Task-Manager, die für die unterteilte Aufgabenerledigung von über 50 Vertragsorganisationen verantwortlich waren und Aktivitäten wie Schwachstellenforschung, Exploit-Entwicklung, Aufklärung und die Durchführung von Netzwerkeinbrüchen oder -angriffen durchführten. Bei der Entwicklung offensiver Cyberfähigkeiten wurden diese einzelnen Komponenten jeweils gezielt unterschiedlichen Vertragsgruppen zugewiesen, um die Integrität der übergreifenden Operationen zu schützen und sicherzustellen, dass die IRGC und/oder das MOIS die Kontrolle über die Operationen behielten und das Risiko durch betrügerische Hacker verringerten.
Verschleierung der Beteiligung der iranischen Regierung an Angriffskampagnen.
FireEye stellte in seinem Bericht von 2017 außerdem fest, dass der Online-Handle „xman_1365_x“, der im PDB-Pfad einer APT33 TURNEDUP-Backdoor-Probe gefunden wurde, einer Person beim Nasr Institute gehörte. Derselbe Handle wurde dann mit zerstörerischen Operationen unter Verwendung der Schadsoftwarefamilien NewsBeef und StoneDrill in Verbindung gebracht. Im März 2017 brachten Forscher StoneDrill dann mit der Operation Shamoon 2 und dem Bedrohungsakteur APT35 (auch bekannt als Charming Kitten, Newscaster oder NewBeef) in Verbindung .
Unsere bisherigen Analysen zeigten, dass sich die Person hinter dem Benutzernamen „xman_1365_x“ in iranischen Hackerforen als Mahdi Honarvar aus Mashhad zu erkennen gab. Es wird spekuliert, dass er seit etwa 2017 auch mit dem Sicherheitszentrum Kavosh verbunden war.
Die Rolle von Kavosh im iranischen Cyber-Ökosystem wurde durch eine aktuelle Analyse der Group-IB weiter aufgedeckt. Darin wurde dargelegt, dass Kavosh zwischen 2006 und 2014 der Arbeitgeber von „Nima Nikjoo“ war. Ihre Analyse ergab, dass eine Kampagne im März 2019, die auf einen türkischen Hersteller militärischer Elektronik abzielte, von einem anderen iranischen Bedrohungsakteur, MUDDYWATER, durchgeführt wurde. MUDDYWATER nutzte die POWERSTATS-Hintertür und verbreitete sich in Maldocs, die Metadaten enthielten, die den Autor als „Gladiyator_CRK“ und möglicherweise als „Nima“ enthüllten. Darüber hinaus wurde die mutmaßlich damit in Zusammenhang stehende E-Mail-Adresse „ [email protected]“ mit „نیما نیکجو“ (was übersetzt „Nima Nickjou“ bedeutet) in einem Blog aus dem Jahr 2014 in Verbindung gebracht. In diesem Blog wurden die Namen und E-Mail-Adressen von Personen veröffentlicht, die angeblich beim Nasr Institute beschäftigt sind. Ein weiterer Forschungsblog unter dem Pseudonym „0xffff0800“ bestätigte einige dieser Ergebnisse und enthüllte, dass es sich bei „Nima Nikjoo“ um „Nima Nikjoo Tabrizi“ handelt.
LinkedIn-Profilbild des mutmaßlichen APT33-Bedrohungsakteurs Nima Nikjoo Tabrizi. (Zugriff am 14. Juni 2019)
Wer ist Nima Nikjoo Tabrizi?
OSINT-Informationen zeigen, dass es ein aktives Linkedin-Konto und andere aktive Social-Media-Konten auf den Namen Nima Nikjoo Tabrizi gibt. Es wird behauptet, dass er als Reverse Engineer und Malware-Analyst bei Symantec arbeitet. Symantec hat gegenüber Recorded Future jedoch bestätigt, dass Tabrizi nie für sie gearbeitet hat:
„Diese Person ist uns schon seit langem bekannt. Nima Nikjoo ist kein Mitarbeiter von Symantec und uns liegen keine Aufzeichnungen darüber vor, dass eine Person mit diesem Namen bei Symantec arbeitet."
Da bekannt wurde, dass Tabrizi für das Nasr Institute (eine Regierungsorganisation) und das Kavosh Security Center tätig ist, die enge Verbindungen zu vom iranischen Staat geförderten Cyberspionage-Aktivitäten haben, gehen wir mit großer Wahrscheinlichkeit davon aus, dass er im Auftrag des iranischen Staates Cyberspionage-Aktivitäten begeht.
Beschäftigungsverlauf des mutmaßlichen APT33-Bedrohungsakteurs Nima Nikjoo Tabrizi.
Auf Grundlage dieser Informationen ist es möglich, dass die Mitarbeiter nach der Enthüllung, dass das Nasr-Institut eine Tarnorganisation für offensive, vom iranischen Staat gesponserte Cyber-Aktivitäten war, zu anderen Unternehmen wie Kavosh wechselten, um ihre Identität zu schützen und eine weitere Aufdeckung zu minimieren. Es gab keine weiteren weithin berichteten Enthüllungen im Zusammenhang mit dem Nasr-Institut, bis 2017 die Verbindungen zwischen Mahdi Honarvar und dem Kavosh Security Center aufgedeckt wurden. Daher gehen wir davon aus, dass die Überschneidungen technischer und persönlicher Informationen auf eine historische Verbindung zwischen den Bedrohungsakteuren APT33, APT35 und MUDDYWATER hinweisen.
Diese technischen und personellen Überschneidungen zwischen den iranischen Bedrohungsakteuren sind angesichts der mehrstufigen Struktur der staatlichen Steuerung von Cyberoperationen durch den Iran nicht überraschend. Wir haben festgestellt, dass die Manager innerhalb dieser Struktur mehrere Teams leiten, von denen einige mit Regierungsorganisationen verbunden sind und andere beauftragte private Unternehmen sind (wie z. B. das ITSec-Team).
Technische Analyse
APT33 aufräumen?
Ausgehend von den von Symantec dokumentierten APT33-Indikatoren erstellte die Insikt Group mithilfe der Farsight Security-Erweiterung innerhalb der Recorded Future-Plattform ein Profil der von der Gruppe verwendeten Domänen- und Hosting-Infrastruktur und enthüllte aktualisierte IP-Auflösungen für einige der Domänen.
| Domain | Ursprüngliche IP-Auflösung (gemäß Symantec-Bericht) | Aktualisierte IP-Auflösungen |
|---|---|---|
| Backupnet.ddns[.]net | 25.187.21[.]71, 91.230.121[.]143 | 95.183.54[.]119 |
| hyperservice.ddns[.]net | 26.8.21[.]119 | 95.183.54[.]119 |
| microsoftupdated[.]com | 5.187.21[.]70 | 52.45.178[.]122 |
| meinnetzwerk[.]cf | 192.119.15[.]41, 195.20.52[.]172 | 195.20.52[.]172 |
| mypsh.ddns[.]net | 162.250.145[.]204, 162.250.145[.]234, 192.119.15[.]35, 192.119.15[.]37, 64.251.19[.]214, 64.251.19[.]231, 64.251.19[.]232, 26.8.21[.]120, 26.8.21[.]221, 26.8.21[.]222 | Keine aktuelle Lösung |
| mypsh.ddns[.]net | 5.79.127[.]177 | 0.0.0[.]0 |
| mywinnetwork.ddns[.]net | 91.235.142[.]76, 91.235.142[.]124, 89.34.237[.]118 | 0.0.0[.]0 |
| remote-server.ddns[.]net | 192.119.15[.]39, 91.230.121[.]143 | 0.0.0[.]0 |
| remserver.ddns[.]net | 217.147.168[.]44, 91.230.121[.]144 | 0.0.0[.]0 |
| securityupdated[.]com | 217.13.103[.]46 | 204.11.56[.]48 |
| servhost.hopto[.]org | 37.48.105[.]178 | 95.183.54[.]119, 0.0.0[.]0 |
| service-avant[.]com | 213.252.244[.]14 | 213.252.244[.]144, 51.77.102[.]108 |
| srvhost.servehttp[.]com | 26.8.21[.]117, 64.251.19[.]216 | 95.183.54[.]119 |
| svcexplores[.]com | 8188.165.4[.]81 | - |
| update-sec[.]com | 95.211.191[.]117 | - |
Wie erwartet wurden viele der im ursprünglichen Symantec-Bericht offengelegten Domänen geparkt oder lassen sich nicht mehr in eine echte IPv4-Adresse auflösen. Interessanterweise wurden vier der ursprünglichen Domänen (backupnet.ddns[.]net, hyperservice.ddns[.]net, servhost.hopto[.]org, und srvhost.servehttp[.]com) wurden alle am Tag nach der Veröffentlichung aktualisiert und führen zur gleichen IP-Adresse 95.183.54[.]119. Diese IP ist beim Schweizer Hosting-Anbieter Solar Communications GmbH registriert. Es ist unklar, warum diese Domänen nicht ebenfalls geparkt wurden. Mögliche Gründe sind:
- Der Bedrohungsakteur erachtete die Domänen als sehr wertvoll und behielt sie daher für weitere betriebliche Zwecke bei.
- Die Betreiber hatten Schwierigkeiten mit der Aktualisierung der Domänen oder konnten diese aus administrativen Gründen nicht aktualisieren.
Aufgezeichnete Future Intelligence Card ™ für microsoftupdated[.]com, angereichert mit der Farsight Security-Erweiterung.
Um weitere damit verbundene und potenziell bösartige Infrastruktur zu identifizieren, haben wir uns auf die Schweizer IP 95.183.54[.]119 konzentriert und etwa 40 Domänen identifiziert, die seit Mitte Februar 2019 neu auf diese IP aufgelöst wurden. Wir haben RAT-Malware-Kommunikation aus ausgewählten Domänen eindeutig identifiziert.
| Domain | IP | Malware bei der Kommunikation mit der Domäne beobachtet |
|---|---|---|
| windowsx.sytes[.]net | 95.183.54[.]119 | Nanokern |
| hellocookies.ddns[.]net | 95.183.54[.]119 | Nanocore, QuasarRAT-Variante |
| njrat12.ddns[.]net | 95.183.54[.]119 | njRAT |
| trojan1117.hopto[.]org | 95.183.54[.]119 | njRAT |
| wwwgooglecom.sytes[.]net | 95.183.54[.]119 | njRAT |
| newhost.hopto[.]org | 95.183.54[.]119 | njRAT, DarkComet |
| za158155.ddns[.]net | 95.183.54[.]119 | njRAT |
Darüber hinaus wurden viele der Domänen, die auf die Schweizer IP-Adresse aufgelöst wurden, mit Hostnamen registriert, die die Namen gängiger RATs widerspiegelten, wie beispielsweise XTreme RAT, xtreme.hopto[.]org, und njRAT ( njrat12.ddns[.]net), sowie beliebte Tools wie Netcat (n3tc4t.hopto[.]com). Interessanterweise gibt es eine Domain, die einen beliebten Telegram-Kanal in Farsi fälscht, namens BistBots (bistbotsproxies.ddns[.]net). wurde auch auf derselben IP mitgehostet. Wir gehen davon aus, dass dies wahrscheinlich auf den Wunsch hindeutet, BistBots-Benutzer ins Visier zu nehmen, die nach aktuellen, schnellen Internet-Proxys suchen, möglicherweise um Netzwerkfilter zu umgehen und auf Websites wie Facebook, Twitter und YouTube zuzugreifen, die im Iran eingeschränkt sind.
Eine weitere Analyse der oben genannten Domänen, einschließlich windowsx.sytes[.]net, njrat12.ddns[.]net, und wwwgooglecom.sytes[.]net zeigt, dass sie gemäß ihren jeweiligen Recorded Future Intelligence Cards ™ als C2 für Nanocore und njRAT klassifiziert wurden. Bei den detaillierten Informationen handelt es sich um Korrelationen, die aus Hash-Berichten von Malware-Multiscanner-Repositories und Malware-Detonationen abgeleitet wurden, die direkte Verweise auf die Domänen enthalten.
Interessanterweise wurde in der Symantec-Studie zwar die Verwendung von Nanocore durch APT33 festgestellt, njRAT jedoch nicht erwähnt. Dies deutet darauf hin, dass es sich hier um eine bislang unbekannte Ergänzung des immer größer werdenden Repertoires gängiger Malware der Gruppe handelt.
Kontextpanel der Recorded Future Intelligence Card ™ für windowsx.sytes[.]net, Zeigt die Beziehung zwischen der Domäne und der Nanocore RAT-Malware.
Das folgende Maltego-Diagramm zeigt die Linkanalyse ausgewählter Domänen, die auf der Schweizer IP gehostet werden, mit abgeleiteten Hashes, die mit dem Namen der Malware-Familie verknüpft sind.
Maltego-Diagramm der Domänen, die auf der bekannten bösartigen, mit APT33 verknüpften IP gehostet werden.
Tiefere Infrastrukturkorrelationen
Die Insikt Group hat alle Domänen aufgelistet, die seit Januar 2019 mutmaßlich von APT33 genutzt werden. Wir haben mithilfe von passivem DNS und ähnlichen Ansätzen gängige Infrastruktur-Hosting-Muster durchgesehen, um weitere verdächtige APT33-Infrastrukturen zu identifizieren.
Eine vorläufige Analyse ergab 1.252 einzigartige, korrelierte Domänen, die wahrscheinlich von denselben APT33-Angreifern verwaltet werden, die hinter der von Symantec dokumentierten Kampagne stehen. Davon wurden 728 Domänen identifiziert, die mit Dateien auf infizierten Hosts kommunizierten, wobei 575 davon eindeutig einer RAT-Malware-Familie zugeordnet werden konnten. Die verbleibenden 153 Domänen wurden anhand der Treffer der AV-Engine als bösartig identifiziert, konnten jedoch nicht automatisch eindeutig einer bestimmten Malware-Familie zugeordnet werden.
Anmerkung des Herausgebers: Eine Auswahl der Domänen, Hashes und der zugehörigen IP-Adressinfrastruktur, die mit mutmaßlichen APT33-Domänen in Verbindung stehen, wird den Kunden von Recorded Future in Kürze in einem speziellen zertifizierten Datensatz mit der Bezeichnung „Weaponized Domains“ zur Verfügung gestellt, wodurch Unternehmen die Interaktion mit bösartiger freier/anonymer Infrastruktur, einschließlich dynamischer DNS-Domänen (DDNS), regulieren können.
Kreisdiagramm der mutmaßlichen Verwendung der APT33-Malware.
Eine Aufschlüsselung der Aktivitäten dieser mutmaßlichen APT33-Domänen und der mit ihnen verknüpften Malware-Familien auf oberster Ebene seit dem 28. März 2019 zeigt, dass 60 % der Domänen die Schadsoftware njRAT verwenden, wobei aber auch eine große Auswahl anderer gängiger Tools zum Einsatz kommt. Insgesamt wurden 1.804 einzigartige Malware-Hashes analysiert, um sie den unten aufgeführten 19 Malware-Familien zuzuordnen.
| Malware-Familie | Prozentsatz (%) |
|---|---|
| NJRat | 59,99 |
| Unbekannt | 25,35 |
| RacheRAT | 4,40 |
| NanoCoreRAT | 3,96 |
| Dunkler Komet | 1,74 |
| SpyNet | 0,87 |
| RemcosRAT | 0,76 |
| XtremeRAT | 0,60 |
| ImminentMonitor | 0,43 |
| NetWireRAT | 0,33 |
| Orcus | 0,33 |
| QuasarRAT | 0,27 |
| 888RAT | 0,22 |
| qRat | 0,22 |
| Adwind | 0,16 |
| SandroRAT | 0,11 |
| PlasmaRAT | 0,11 |
| AsynchronRAT | 0,05 |
| BitterRat | 0,05 |
| Steinbohrer | 0,05 |
Aus der Tabelle und dem dazugehörigen Diagramm können wir ableiten, dass APT33 oder ein eng verbündeter Bedrohungsakteur weiterhin in großem Umfang handelsübliche Malware und öffentlich verfügbare Tools verwendet und mehrere Malware-Familien hinzugefügt hat, die bislang nicht als mit dem Bedrohungsakteur in Verbindung gebracht wurden, darunter njRAT, RevengeRAT und AdwindRAT. Ein erheblicher Anteil der Proben (25 %) wurde zwar als bösartig eingestuft, enthielt jedoch generischen Code, der nicht mit einem ausreichend hohen Vertrauensgrad eindeutig klassifiziert werden konnte, um eine weitere manuelle statische Analyse zu rechtfertigen. Auf diese Proben werden wir auch in späteren Analysen ein besonderes Augenmerk legen.
Bei vielen der aufgedeckten Domänen handelte es sich um gefälschte globale Technologieanbieter wie Microsoft und Google sowie um geschäftsorientierte, webbasierte Dienste wie den Videokonferenzanbieter Zoom. In dieser Liste mutmaßlicher APT33-Infrastrukturen waren auch Domänen mit geopolitischem Hintergrund vertreten, wie zum Beispiel vichtorio-israeli.zapto[.]org. (Sieg für Israel), fucksaudi.ddns[.]com und palestine.loginto[.]me. Die Wahl der Hostnamen könnte Aufschluss über das Angriffsmuster von APT33 geben, das sich gegen die vermeintlichen Feinde der Islamischen Republik Iran richtet – insbesondere gegen Israel, Saudi-Arabien und die Staaten des Golf-Kooperationsrates (GCC).
| Domain | Malware-Familie | SHA256 |
|---|---|---|
| fucksaudi.ddns[.]net | RacheRAT | d8e60135aecb3a2a7422c06cfb94ed9aaf1182145d1c482f84b0bd81aa5d2416 |
| googlechromehost.ddns[.]net | NanoCoreRAT | e2cfc91085b9b5db41c4c4297c594758dd9a0c8561ce4544da9faedd3a6b91e8 |
| Backupnet.ddns[.]net | Steinbohrer | a217eb149b65552e3127c65c306aa521dca54959ceee89e85dd2e6e38c0d8f8b |
| younesadams.ddns[.]net | SandroRAT | 410b5f374059cc21b2c738a71957c97e4183d92580d1d48df887deece6d2f663 |
| teamnj.ddns[.]net | Dunkler Komet | e144db21cc5f8f57aa748c0a8e4008fc34f8dd831eb2442eb35961e4cdf41f22 |
Auswahl von Hashes, die mit mutmaßlich bösartigen APT33-Domänen korrelieren. Recorded Future-Kunden können per API-Download auf die vollständige Liste der Domänen im zertifizierten Datensatz zugreifen.
Zielorganisationen
Mithilfe von Daten aus der Recorded Future Domain Analysis und deren Kombination mit Daten aus der Recorded Future Network Traffic Analysis konnten die Forscher der Insikt Group eine kleine Auswahl wahrscheinlicher Zielorganisationen identifizieren, die von mutmaßlicher APT33-Aktivität betroffen waren.
| Zielgerichtete Organisation | Sektor(en) | Einsatzland | Datum der beobachteten Aktivität | Vermutete APT33 C2 IP |
|---|---|---|---|---|
| Organisation 1 | Ingenieur- und Bauwesen, Wasser und Elektrizität, Technologie, Einzelhandel, Finanzen | Saudi-Arabien, Vereinigte Arabische Emirate, Ägypten, Türkei, Kroatien | 2. Mai – 3. Juni 2019 | 134.3.20[.]151 |
| Organisation 2 | Massenmedien | Indien | 4. Mai – 1. Juni 2019 | 134.3.20[.]151 |
| Organisation 3 | Diplomatisch | Burkina Faso | 2. Mai 2019 | 134.3.20[.]151 |
| Organisationen 4 und 5 | Gesundheitswesen | Saudi-Arabien | 2. – 8. Mai 2019 | 41.103.3[.]7, 46.249.47[.]193 |
| Organisation 6 | Industrie | Saudi-Arabien | 25. Mai – 3. Juni 2019 | 62.113.171[.]186 |
Ausblick
Nachdem Symantec zu Beginn dieses Jahres große Teile ihrer Infrastruktur und Operationen aufgedeckt hatte, stellten wir fest, dass APT33 oder eng verbündete Akteure darauf reagierten, indem sie Teile ihrer Domänen-Infrastruktur entweder parkten oder neu zuwiesen. Die Tatsache, dass diese Aktivität nur etwa einen Tag nach Veröffentlichung des Berichts ausgeführt wurde, lässt darauf schließen, dass die iranischen Bedrohungsakteure sich der Medienberichterstattung über ihre Aktivitäten durchaus bewusst sind und über genügend Einfallsreichtum verfügen, um rasch reagieren zu können.
Seit Ende März nutzen mutmaßliche APT33-Bedrohungsakteure weiterhin große Teile der operativen Infrastruktur (weit über 1.200 Domänen), wobei bei vielen davon die Kommunikation mit 19 verschiedenen handelsüblichen RAT-Implantaten beobachtet wurde. Eine interessante Entwicklung scheint ihre zunehmende Präferenz für njRAT zu sein, da über die Hälfte der beobachteten mutmaßlichen APT33-Infrastruktur mit dem Einsatz von njRAT in Verbindung steht.
Zwar konnten wir keine großflächigen Angriffe auf kommerzielle Unternehmen oder regionale Gegner beobachten, wie bei zuvor dokumentierten APT33-Operationen. Die wenigen angegriffenen Organisationen, die wir beobachtet haben, waren jedoch hauptsächlich in Saudi-Arabien ansässig und in verschiedenen Branchen tätig. Dies deutet darauf hin, dass die Angriffe weiterhin im Rahmen geopolitischer Ziele erfolgen. Wir gehen davon aus, dass die umfangreiche Infrastruktur, die wir bei unseren Untersuchungen aufgedeckt haben, wahrscheinlich auf umfassendere, laufende operative Aktivitäten oder die Schaffung von Grundlagen für künftige Cyber-Spionage-Operationen hinweist. Wir empfehlen Organisationen, Maßnahmen zu ergreifen, um ihre Netzwerke auf Hinweise auf mutmaßliche APT33-Aktivitäten zu überwachen, indem sie den Anweisungen im Abschnitt „Empfehlungen zur Netzwerkverteidigung“ weiter unten folgen.
Abschließend empfehlen wir den Kunden von Recorded Future, unseren kommenden zertifizierten Datensatz „Weaponized Domains“ zu verwenden, der auf prädiktiven Analysen basiert und bei der Identifizierung bösartiger APT-Infrastrukturen hilft. Dadurch sollen Ihre Sicherheitsteams in die Lage versetzt werden, hochpräzise bösartige Indikatoren in großem Umfang zu jagen, zu erkennen und zu blockieren.
Empfehlungen zur Netzwerkverteidigung
Recorded Future empfiehlt Organisationen die Durchführung der folgenden Maßnahmen, um mutmaßliche APT33-Aktivitäten zu erkennen und einzudämmen:
- Konfigurieren Sie Ihre Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) oder andere vorhandene Netzwerkabwehrmechanismen so, dass sie bei den in Anhang A aufgeführten externen IP-Adressen und Domänen eine Warnung ausgeben und die Blockierung unzulässiger Verbindungsversuche in Erwägung ziehen.
- Wie in unserem vorherigen, nur unseren Kunden zur Verfügung stehenden Blog zu APT33 ausführlich beschrieben, stellt Dynamic DNS (DDNS) weiterhin einen relevanten betrieblichen Engpass bei der Implementierung von Sicherheitskontrollen dar. Der gesamte TCP/UDP-Netzwerkverkehr, an dem DDNS-Subdomänen beteiligt sind, sollte blockiert und protokolliert werden (mithilfe von DNS RPZ oder ähnlichem).
- Führen Sie in Ihrem Unternehmen regelmäßige Yara-Scans durch, um die neuen Regeln aus Anhang B zu ermitteln.
Laden Sie den Anhang herunter, um eine vollständige Liste der zugehörigen Kompromittierungsindikatoren anzuzeigen.
Verwandt