Schädliche Anwendungen von OilAlpha zielen auf im Jemen tätige humanitäre Hilfsorganisationen ab

Zusammenfassung

Die Untersuchungen der Insikt Group haben ergeben, dass OilAlpha, eine vermutlich pro-Houthi-Gruppe, weiterhin im Jemen tätige humanitäre Organisationen und Menschenrechtsorganisationen ins Visier nimmt. Sie nutzen bösartige Android-Anwendungen, um Anmeldeinformationen zu stehlen und Informationen zu sammeln, möglicherweise um die Verteilung von Hilfsgütern zu kontrollieren. Zu den namhaften betroffenen Organisationen zählen CARE International und der Norwegische Flüchtlingsrat. Dieser Bericht beleuchtet die anhaltende Bedrohung und schlägt Abwehrstrategien vor, wie etwa ein Bewusstsein für Social Engineering, sichere Passwörter und Multi-Faktor-Authentifizierung.

Schädliche Anwendungen von OilAlpha zielen auf im Jemen tätige humanitäre Hilfsorganisationen ab

Im Mai 2023 veröffentlichte die Insikt Group erstmals Forschungsergebnisse zu OilAlpha, einer pro-Houthi-Gruppe, die mit bösartigen Android-Anwendungen humanitäre Organisationen im Jemen angreift. Ein Jahr später zeigen neue Erkenntnisse, dass OilAlpha noch immer aktiv ist und eine erhebliche Bedrohung für die humanitären Bemühungen in der Region darstellt.

Unsere jüngsten Untersuchungen identifizieren einen neuen Cluster bösartiger mobiler Anwendungen und Infrastrukturen, die mit OilAlpha in Verbindung stehen. Diese Anwendungen richten sich an Mitarbeiter weltweit anerkannter humanitärer Organisationen, darunter CARE International, der norwegische Flüchtlingsrat und das saudi-arabische King Salman Humanitarian Aid and Relief Centre.

Im Juni 2024 entdeckten wir eine verdächtige Android-Datei namens „Cash Incentives.apk“, die mit der Infrastruktur von OilAlpha verbunden war. Die App fordert invasive Berechtigungen an, einschließlich Zugriff auf Kamera, Audio, SMS, Kontakte und mehr, und wird als Remote Access Trojaner (RAT) eingestuft. Bei einer anschließenden Analyse wurden zwei weitere Schadanwendungen identifiziert, die es auf den Norwegischen Flüchtlingsrat und CARE International abgesehen hatten und allesamt versuchten, Anmeldeinformationen zu stehlen und vertrauliche Informationen zu sammeln.

Zu den Aktivitäten von OilAlpha gehört ein Portal zum Diebstahl von Anmeldeinformationen, das auf der Domäne kssnew[.]online gehostet wird. Dieses Portal gibt sich als Anmeldeseiten humanitärer Organisationen aus und leitet die Benutzer zur Eingabe ihrer Anmeldeinformationen weiter, die dann von den Angreifern abgegriffen werden.

Um dieser Bedrohung entgegenzuwirken, sollten Unternehmen Richtlinien zur Informationssicherheit implementieren und Sensibilisierungsübungen zu Social Engineering und Anti-Phishing durchführen. Starke Passwörter und Multi-Faktor-Authentifizierung (MFA) können das Risiko eines Anmeldeinformationsdiebstahls erheblich reduzieren.

Darüber hinaus sollten Benutzer beim Versenden von Direktnachrichten in sozialen Medien und verschlüsselten Chats vorsichtig sein und die Echtheit der Nachrichten nach Möglichkeit überprüfen. Das Third-Party Intelligence-Modul von Recorded Future kann dabei helfen, die Aktivitäten von OilAlpha in Echtzeit zu identifizieren und zu überwachen. Installieren Sie die Recorded Future ® Threat Intelligence Browser Extension für sofortigen Zugriff auf Bedrohungsinformationen, schnellere Alarmverarbeitung in SIEM und Priorisierung von Schwachstellen.

Für verdächtige Dateien bietet die Malware Intelligence-Sandbox von Recorded Future eine detaillierte Analyse. Es beobachtet das Verhalten der Datei in einer kontrollierten Umgebung, um ihre Netzwerkverbindungen und Systemänderungen zu verstehen.

Die Aktivitäten von OilAlpha deuten darauf hin, dass es sich um laufende Bemühungen handelt, die Verteilung humanitärer Hilfe im Jemen zu kontrollieren. Der Fokus der Gruppe auf humanitären Organisationen dürfte auch weiterhin bestehen und sich möglicherweise über den Jemen hinaus ausweiten. Recorded Future ist weiterhin bestrebt, diese Bedrohungen zu überwachen und darüber zu berichten, um zur Sicherung humanitärer Einsätze im Nahen Osten und darüber hinaus beizutragen.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.