Mutmaßlicher Iran-Nexus TAG-56 nutzt VAE-Forum als Köder für Anmeldedatendiebstahl gegen US-Denkfabrik

Anmerkung des Herausgebers: Klicken Sie hier , um den Bericht als PDF herunterzuladen.

Dieser Bericht behandelt Bedrohungsaktivitäten, die höchstwahrscheinlich mit einer umfassenderen Kampagne in Zusammenhang stehen, die von einer mutmaßlich mit dem Iran in Verbindung stehenden Bedrohungsaktivitätsgruppe namens TAG-56 angeführt wird. Die Insikt Group hat diese Bedrohungsaktivität mithilfe von Bedrohungsjagdtechniken entdeckt. Diese Forschung ist für Einzelpersonen und Organisationen relevant, die über iranische Cyberoperationen berichten, für IT-Sicherheitsmitarbeiter, Mitglieder von Think Tanks, Nichtregierungsorganisationen, Journalisten und Regierungen.

Executive Summary

Anfang November 2022 identifizierte die Insikt Group einen Phishing- und anschließenden Angriff auf den Diebstahl von Zugangsdaten, der höchstwahrscheinlich von einer Bedrohungsaktivitätsgruppe mit Iran-Nexus ausgeführt wurde und sich gegen die in den USA ansässige Denkfabrik Washington Institute richtete. Die Komponente zum Diebstahl von Anmeldeinformationen tarnt sich als Microsoft-Registrierungsformular für das Sir Bani Yas Forum 2022, das von der Regierung der Vereinigten Arabischen Emirate (VAE) veranstaltet wird. Die Bedrohungsaktivität deutet höchstwahrscheinlich auf eine umfassendere Kampagne hin, bei der URL-Verkürzer verwendet werden, um Opfer auf bösartige Seiten umzuleiten, auf denen Anmeldeinformationen gestohlen werden. Diese Vorgehensweise ist bei mit dem Iran in Verbindung stehenden Advanced Persistent Threat (APT)-Gruppen wie APT42 und Phosphorus weit verbreitet.

Die Insikt Group hat fünf Domänen identifiziert, die höchstwahrscheinlich zum Hosten von Seiten zum Diebstahl von Anmeldeinformationen verwendet werden. Die mit dieser Untersuchung in Zusammenhang stehenden Beispiele für den Diebstahl von Anmeldeinformationen wurden im Laufe des Jahres 2022 an URLScan übermittelt. Der jüngste Antrag kam am 3. November 2022 aus den Vereinigten Arabischen Emiraten. Zum Zeitpunkt des Schreibens dieses Artikels ist es sehr wahrscheinlich, dass diese Bedrohungsaktivität mit einer laufenden Kampagne zusammenhängt. Die Insikt Group verfolgt diese Aktivität unter der temporären Gruppenbezeichnung TAG-56.

Bedrohungsanalyse

Erste Entdeckung

On November 3, 2022, Insikt Group identified a suspicious urlscan submission from a user in the UAE that returned a fake Microsoft registration form for the 2022 Sir Bani Yas Forum as noted in Figure 1. The intended target of the attack is a senior fellow of the Washington Institute, a US-based think tank focused on US foreign policy in the Near East. The submission data revealed that the victim likely received a spearphishing message that, when clicked, would redirect them to a URL with the apex domain name — mailer-daemon[.]net — where the spoofed registration page is hosted.

Abbildung 1: Anmeldeformular, das angeblich mit dem Sir Bani Yas Forum verknüpft ist (Quelle: urlscan)

The domain “mailer-daemon[.]net” was registered on October 11, 2022, via Namecheap and uses WHOIS privacy protection. The domain has resolved to 162.0.232[.]252 since October 11, 2022. The reverse DNS for 162.0.232[.]252 is “web-hosting[.]com”, which is associated with Namecheap's shared hosting services.

Insikt Group identified 4 further domains, listed in Table 1 below, which use an identical domain naming convention as mailer-daemon[.]net. All but 1 domain, “mailer-daemon[.]org”, use Namecheap's shared hosting services. The domain “mailer-daemon[.]org” was registered using GoDaddy. Open-source reporting reveals similar domains, specifically “mailerdaemon[.]me” and “mailer-daemon-message[.]co”, were used by members of the Phosphorus APT group to lead attacks throughout 2020 and 2021.

Tabelle 1: Mit der Bedrohungsaktivität TAG-56 verbundene Domänennamen (Quelle: Recorded Future)

Der Fake-URL-Shortener

A fake URL shortener, “tinyurl[.]ink”, which spoofs the legitimate service TinyURL (tinyurl[.]com), was identified as part of our research. The fake URL shortener was used to deliver a lure document — “Iran nuke.docx” — titled "ANOTHER FLAWED IRAN DEAL AND THE NEXT PHASE OF US POLICY", which, as the title implies, concerns Iran's nuclear program. The document, shown in Figure 2, is benign and was likely used by the attackers to lower the precautionary behavior of the intended target. In a June 2022 report regarding an Iranian APT campaign that targeted US and Israeli government officials, Check Point Research noted that benign documents were sent to targets to initiate conversations.

Figure 2: Decoy document sent to intended targets (Source: Tria.ge)

As part of the delivery of “Iran nuke.docx”, TAG-56 operatives used the fake URL shortener in conjunction with the legitimate shortening service tinyurl[.]com as depicted in Figure 3. The attack chain started with the operatives delivering a message using the legitimate URL shortener (tinyurl[.]com) against a suspected target; if the target clicked on the link, they were redirected to the spoofed equivalent (tinyurl[.]ink). Another submission to urlscan from Israel revealed that TAG-56 used tinyurl[.]com to engage with a suspected target using the “mailer-daemon[.]live” domain. At the time of analysis, “mailer-daemon[.]live” resolved to another IP address owned by Namecheap: 198.54.116[.]118.

Abbildung 3: Beobachtete Weiterleitungen zum Dokument über die iranische Atombombe (Quelle: Recorded Future)

Wir wissen nicht, wie TAG-56 die mit dieser Untersuchung in Zusammenhang stehenden Links verbreitet hat, obwohl es sehr wahrscheinlich ist, dass für die Übermittlung Spearphishing oder möglicherweise eine verschlüsselte Chat-Plattform verwendet wurde. Einige Betreiber eines Iran-Nexus, etwa diejenigen im Zusammenhang mit APT42, sind dafür bekannt, Links direkt an die WhatsApp- oder Telegram-Konten der Opfer zu senden und sich an Chats zu beteiligen, um die Opfer durch Social Engineering zu manipulieren.

Tabelle 2: Informationen zur Datei „Iran nuke.docx“ (Quelle: Recorded Future und urlscan)

As noted in Table 3, the domain “tinyurl[.]ink” has resolved to IP address 199.188.200[.]217 since it was registered via Namecheap in mid-December 2021; WHOIS privacy protections were again employed by TAG-56 operators.

Tabelle 3: URL Shortener ist seit Mitte Dezember 2021 in Betrieb (Recorded Future)

Serverkonfiguration

The Namecheap server configuration of “tinyurl[.]ink” revealed another notable overlap to threat activity reported by Check Point Research: the attackers used a shared web host provided by Namecheap to establish their infrastructure, an aspect of TAG-56’s tactics, techniques, and procedures (TTPs) that was also observed in the campaign reported by Check Point Research. In that campaign, the attacker-controlled infrastructure also included a fake URL shortener, “litby[.]us”. This suggests that TAG-56 operators prefer to acquire purpose-built infrastructure as opposed to establishing their own.

Check Point Researchers also cited that the HTML of the URL shortener (litby[.]us) revealed direct links to a cluster of threat activity attributed to the Phosphorus APT in 2020. The domain “de-ma[.]online” underlined in Figure 4 has not had an active DNS “A” record since November 2020.

Figure 4: HTML code revealing links to de-ma[.]online domain (Source: Check Point Research)

Die Insikt Group hat eine wahrscheinliche Wiederverwendung von Code im HTML der gefälschten Registrierungsseite von Sir Bani Yas festgestellt. Eine JavaScript-Funktion listet speziell eine Variable "passwd.trim()=="SaudiG20" auf, Das Ereignis hat wahrscheinlich nichts mit dem Sir Bani Yas-Forum zu tun, sondern ist eher mit dem G20-Treffen verbunden, das 2020 von Saudi-Arabien ausgerichtet wird.

Abbildung 5: Untersuchung des HTML-Codes ergab die Variable „SaudiG20“ in einer JavaScript-Funktion (Quelle: urlscan)

The Sir Bani Yas forum spoofed login page also contained a redirect that included the string "continue-to-settings.php". The same string was identified in another submission made to urlscan on August 6, 2021. This submission revealed a malicious login page for Yahoo mail (another case of credential theft), but the apex domain used for the attack was “continuetogo[.]me”. This domain was referenced in a report by Google’s Threat Analysis Group in October 2021 and is associated with APT35. Threat researchers from multiple cybersecurity vendors have previously revealed strategic and technical overlaps between APT35, Charming Kitten, TA453, and APT42 (along with its forerunner UNC788).

Abbildung 6: Überschneidungen zwischen zwei separaten Kampagnen, die mit APT35 (von Google zugeschrieben) und TAG-56 verknüpft sind (Quelle: urlscan)

Gegenmaßnahmen

• Legen Sie robuste Richtlinien fest und führen Sie Sensibilisierungsübungen zu Social Engineering und Anti-Phishing durch, um Angriffe zu erkennen und zu verhindern.
• Verwenden Sie sichere Passwörter und aktivieren Sie, wenn möglich, die Multi-Faktor-Authentifizierung (MFA), um den potenziellen Schaden durch den Diebstahl von Anmeldeinformationen zu begrenzen.
• Überwachen Sie mithilfe des Recorded Future Brand Intelligence (BI) -Moduls Domänenmissbrauch, beispielsweise Typosquat-Domänen, die Ihr Unternehmen vortäuschen. Die SecurityTrails-Erweiterung ist für jeden Kunden verfügbar, der ein Abonnement der Module Threat Intelligence (TI) oder BI besitzt. Die LogoType-Quelle und -Alarmierung sind ausschließlich dem BI-Modul vorbehalten, das TI-Modul hat jedoch über den Advanced Query Builder Zugriff auf die Daten.
• “Cold-calling” is a common method Iranian social engineering operators use to engage with victims. This includes direct messaging on social media platforms as well as on encrypted chats. Be on the lookout for signs of inauthentic or reused material and attempt to directly verify with the source when possible.
• Recorded Future’s Fraudulent Domains and Typosquats playbook explains triaging typosquatting or similar domain alerts. If you have not yet set up your alerts, see activating certified alerts in the Intelligence Goals Library.

Ausblick

TAG-56 stellt viele der bekannten TTPs dar, die mit Gruppen wie APT42 und Phosphorus in Verbindung stehen. Hierzu gehören die Domänenbenennungskonventionen im Zusammenhang mit der vom Angreifer kontrollierten Infrastruktur, die Verwendung wiederverwendeten Codes und das beabsichtigte Opfer des Anmeldeinformationsdiebstahls. Die Verwendung wiederverwendeten HTML-Codes ist vermutlich ein wiederkehrender Aspekt der Vorgehensweise von TAG-56, der den Angreifern trotz der höheren Wahrscheinlichkeit einer Entdeckung durch Bedrohungsforscher wahrscheinlich immer noch einen ausreichenden Return on Investment (ROI) bietet, um eine Änderung der TTPs nicht zu rechtfertigen.

Über die Opfer der mit APT42 und Phosphorus in Zusammenhang stehenden Bedrohungsaktivitäten wird in offenen Quellen ausführlich berichtet (1, 2, 3), da Think Tanks ihren mutmaßlichen Hintermännern strategische Informationen mit nachrichtendienstlichem Wert liefern. Die mit TAG-56 identifizierte Zielüberschneidung untermauert unsere Einschätzung, dass dieser Bedrohungscluster starke Überschneidungen mit den oben genannten APT-Gruppen aufweist.

Anhang

Domänen:

mailer-daemon[.]net mailer-daemon[.]online mailer-daemon[.]me mailer-daemon[.]org mailer-daemon[.]live de-ma[.]online tinyurl[.]ink litby[.]us

IP-Adressen:

92.205.13[.]202 162.0.232[.]252 198.54.116[.]118 198.54.115[.]217 199.188.200[.]217

URLs:

hxxps[:]//mailer-daemon[.]net/file=sharing=system/file.id.x=xxxxxx/first.check.html hxxps[:]//continuetogo[.]me/Sec=Tab=settings/id=xxxxx=xxxxx/continue-to-settings.php hxxps[:]//mailer-daemon[.]net/file=sharing=system/file.id.X=xxxxxx/continue-to-settings.php hxxps[:]//mailer-daemon[.]live/sec=file=sharing/check.id=xxxxxxxx=xxxxxx/index.php hxxps[:]//tinyurl[.]ink/8tio97cy/Iran%20nuke.docx

SHA256-Hash:

69eb4fca412201039105d862d5f2bf12085d41cb18a93398afef0be8dfb9c229

Datei:

Iranische Atombombe.docx