>
Research (Insikt)

Mutmaßlicher Iran-Nexus TAG-56 nutzt VAE-Forum als Köder für Anmeldedatendiebstahl gegen US-Denkfabrik

Veröffentlicht: 29. November 2022
Von: Insikt Group®

insikt-group-logo-aktualisiert-3-300x48.png

Anmerkung des Herausgebers: Klicken Sie hier , um den Bericht als PDF herunterzuladen.

Dieser Bericht behandelt Bedrohungsaktivitäten, die höchstwahrscheinlich mit einer umfassenderen Kampagne in Zusammenhang stehen, die von einer mutmaßlich mit dem Iran in Verbindung stehenden Bedrohungsaktivitätsgruppe namens TAG-56 angeführt wird. Die Insikt Group hat diese Bedrohungsaktivität mithilfe von Bedrohungsjagdtechniken entdeckt. Diese Forschung ist für Einzelpersonen und Organisationen relevant, die über iranische Cyberoperationen berichten, für IT-Sicherheitsmitarbeiter, Mitglieder von Think Tanks, Nichtregierungsorganisationen, Journalisten und Regierungen.

Executive Summary

Anfang November 2022 identifizierte die Insikt Group einen Phishing- und anschließenden Angriff auf den Diebstahl von Zugangsdaten, der höchstwahrscheinlich von einer Bedrohungsaktivitätsgruppe mit Iran-Nexus ausgeführt wurde und sich gegen die in den USA ansässige Denkfabrik Washington Institute richtete. Die Komponente zum Diebstahl von Anmeldeinformationen tarnt sich als Microsoft-Registrierungsformular für das Sir Bani Yas Forum 2022, das von der Regierung der Vereinigten Arabischen Emirate (VAE) veranstaltet wird. Die Bedrohungsaktivität deutet höchstwahrscheinlich auf eine umfassendere Kampagne hin, bei der URL-Verkürzer verwendet werden, um Opfer auf bösartige Seiten umzuleiten, auf denen Anmeldeinformationen gestohlen werden. Diese Vorgehensweise ist bei mit dem Iran in Verbindung stehenden Advanced Persistent Threat (APT)-Gruppen wie APT42 und Phosphorus weit verbreitet.

Die Insikt Group hat fünf Domänen identifiziert, die höchstwahrscheinlich zum Hosten von Seiten zum Diebstahl von Anmeldeinformationen verwendet werden. Die mit dieser Untersuchung in Zusammenhang stehenden Beispiele für den Diebstahl von Anmeldeinformationen wurden im Laufe des Jahres 2022 an URLScan übermittelt. Der jüngste Antrag kam am 3. November 2022 aus den Vereinigten Arabischen Emiraten. Zum Zeitpunkt des Schreibens dieses Artikels ist es sehr wahrscheinlich, dass diese Bedrohungsaktivität mit einer laufenden Kampagne zusammenhängt. Die Insikt Group verfolgt diese Aktivität unter der temporären Gruppenbezeichnung TAG-56.

Bedrohungsanalyse

Erste Entdeckung

Am 3. November 2022 identifizierte die Insikt Group einen verdächtigen URL-Scan-Eintrag eines Benutzers aus den VAE, der ein gefälschtes Microsoft-Registrierungsformular für das Sir Bani Yas Forum 2022 zurückgab, wie in Abbildung 1 dargestellt. Das eigentliche Ziel des Angriffs ist ein hochrangiges Mitglied des Washington Institute, einer Denkfabrik mit Sitz in den USA, die sich mit der US-Außenpolitik im Nahen Osten beschäftigt. Aus den übermittelten Daten ging hervor, dass das Opfer wahrscheinlich eine Spearphishing-Nachricht erhalten hatte, die es beim Anklicken auf eine URL mit dem Apex-Domänennamen – mailer-daemon[.]net – weiterleitete. — wo die gefälschte Registrierungsseite gehostet wird.

Verdächtiger_Iran_Nexus_Tag_56_nutzt_Vereinigte_Emirate_Forum_als_Köder_für_Anmeldedatendiebstahl_gegen_US_Denkfabrik_Abbildung_1.png

Abbildung 1: Anmeldeformular, das angeblich mit dem Sir Bani Yas Forum verknüpft ist (Quelle: urlscan)

Die Domäne „mailer-daemon[.]net“ wurde am 11. Oktober 2022 über Namecheap registriert und verwendet den WHOIS-Datenschutz. Die Domäne wurde zu 162.0.232[.]252 aufgelöst. seit 11. Oktober 2022. Der Reverse-DNS für 162.0.232[.]252 ist „web-hosting[.]com“, das mit den Shared-Hosting-Diensten von Namecheap verbunden ist.

Insikt Group hat vier weitere Domänen identifiziert (siehe Tabelle 1 weiter unten), die eine identische Domänennamenskonvention wie mailer-daemon[.]net verwenden. Alle außer einer Domain, „mailer-daemon[.]org“, Nutzen Sie die Shared-Hosting-Dienste von Namecheap. Die Domäne „mailer-daemon[.]org“ wurde mit GoDaddy registriert. Open-Source-Berichte decken ähnliche Domänen auf, insbesondere „mailerdaemon[.]me“ und „mailer-daemon-message[.]co“ wurden von Mitgliedern der Phosphorus APT-Gruppe verwendet, um in den Jahren 2020 und 2021 Angriffe durchzuführen.

Domain IP-Adresse Zum ersten Mal gesehen Registrator WHOIS-Registrierung
mailer-daemon[.]online 198.54.115[.]217 23. November 2022 Namebillig Datenschutz geschützt
mailer-daemon[.]org 92.205.13[.]202 13. November 2022 Los Papa Datenschutz geschützt
mailer-daemon[.]net 162.0.232[.]252 11. Oktober 2022 Namebillig Datenschutz geschützt
mailer-daemon[.]me 199.188.200[.]217 31. April 2022 Namebillig Datenschutz geschützt
mailer-daemon[.]live 199.188.200[.]217 9. November 2021 Namebillig Datenschutz geschützt

Tabelle 1: Mit der Bedrohungsaktivität TAG-56 verbundene Domänennamen (Quelle: Recorded Future)

Der Fake-URL-Shortener

Ein gefälschter URL-Verkürzer, „tinyurl[.]ink“, der den legitimen Dienst TinyURL (tinyurl[.]com) vortäuscht, wurde im Rahmen unserer Untersuchungen identifiziert. Der gefälschte URL-Shortener wurde verwendet, um ein Lockdokument zu übermitteln – „Iran nuke.docx“ – mit dem Titel „EIN WEITERES FEHLERHAFTES IRAN-ABKOMMEN UND DIE NÄCHSTE PHASE DER US-POLITIK“, das, wie der Titel schon sagt, das iranische Atomprogramm betrifft. Das in Abbildung 2 gezeigte Dokument ist harmlos und wurde wahrscheinlich von den Angreifern verwendet, um die Vorsicht des beabsichtigten Ziels zu verringern. In einem Bericht vom Juni 2022 über eine iranische APT-Kampagne, die sich gegen US-amerikanische und israelische Regierungsbeamte richtete, stellte Check Point Research fest , dass den Zielen harmlose Dokumente zugesandt wurden, um Gespräche zu initiieren.

Verdächtiger_Iran_Nexus_Tag_56_nutzt_Vereinigte_Emirate_Forum_als_Köder_für_Anmeldedatendiebstahl_gegen_US_Denkfabrik_Abbildung_2.png

Abbildung 2: Lockvogeldokument, das an beabsichtigte Ziele gesendet wurde (Quelle: Tria.ge)

Im Rahmen der Übermittlung von „Iran nuke.docx“ TAG-56-Agenten nutzten den gefälschten URL-Shortener in Verbindung mit dem legitimen Shortener-Dienst tinyurl[.]com wie in Abbildung 3 dargestellt. Die Angriffskette begann damit, dass die Agenten eine Nachricht über den legitimen URL-Shortener (tinyurl[.]com) übermittelten. gegen ein verdächtiges Ziel; wenn das Ziel auf den Link klickte, wurde es zum gefälschten Äquivalent (tinyurl[.]ink) weitergeleitet. Ein weiterer Beitrag aus Israel zu urlscan ergab, dass TAG-56 tinyurl[.]com verwendete um mit einem verdächtigen Ziel über den „Mailer-Daemon[.]live“ zu kommunizieren Domain. Zum Zeitpunkt der Analyse war „mailer-daemon[.]live“ aufgelöst zu einer anderen IP-Adresse im Besitz von Namecheap: 198.54.116[.]118.

Verdächtiger_Iran_Nexus_Tag_56_nutzt_Vereinigte_Emirate_Forum_als_Köder_für_Anmeldedatendiebstahl_gegen_US_Denkfabrik_Abbildung_3.png

Abbildung 3: Beobachtete Weiterleitungen zum Dokument über die iranische Atombombe (Quelle: Recorded Future)

Wir wissen nicht, wie TAG-56 die mit dieser Untersuchung in Zusammenhang stehenden Links verbreitet hat, obwohl es sehr wahrscheinlich ist, dass für die Übermittlung Spearphishing oder möglicherweise eine verschlüsselte Chat-Plattform verwendet wurde. Einige Betreiber eines Iran-Nexus, etwa diejenigen im Zusammenhang mit APT42, sind dafür bekannt, Links direkt an die WhatsApp- oder Telegram-Konten der Opfer zu senden und sich an Chats zu beteiligen, um die Opfer durch Social Engineering zu manipulieren.

Dateiname SHA256-Hash URL Zuletzt bearbeitet
Iranische Atombombe.docx 69eb4fca412201039105d86
2d5f2bf12085d41cb18a933
98afef0be8dfb9c229
hxxps[:]//tinyurl[.]ink/8tio97cy/Iran%20nuke.docx 28. Februar 2022

Tabelle 2: Informationen zur Datei „Iran nuke.docx“ (Quelle: Recorded Future und urlscan)

Wie in Tabelle 3 vermerkt, ist die Domain „tinyurl[.]ink“ wurde zur IP-Adresse 199.188.200[.]217 aufgelöst seit der Registrierung über Namecheap Mitte Dezember 2021 wurden von TAG-56-Betreibern erneut WHOIS-Datenschutzmaßnahmen eingesetzt.

Domain IP-Adresse Zum ersten Mal gesehen WHOIS-Registrierung
tinyurl[.]tinte 199.188.200[.]217 12. Dezember 2021 Datenschutz geschützt

Tabelle 3: URL Shortener ist seit Mitte Dezember 2021 in Betrieb (Recorded Future)

Serverkonfiguration

Die Namecheap-Serverkonfiguration von „tinyurl[.]ink“ offenbarte eine weitere bemerkenswerte Überschneidung mit der von Check Point Research gemeldeten Bedrohungsaktivität: Die Angreifer nutzten einen von Namecheap bereitgestellten gemeinsam genutzten Webhost, um ihre Infrastruktur aufzubauen, ein Aspekt der Taktiken, Techniken und Verfahren (TTPs) von TAG-56, der auch in der von Check Point Research gemeldeten Kampagne beobachtet wurde. In dieser Kampagne enthielt die vom Angreifer kontrollierte Infrastruktur auch einen gefälschten URL-Verkürzer namens „litby[.]us“. Dies lässt darauf schließen, dass die Betreiber von TAG-56 lieber speziell entwickelte Infrastrukturen erwerben, als eine eigene aufzubauen.

Die Forscher von Check Point führten außerdem an, dass das HTML des URL-Shorteners (litby[.]us) enthüllte direkte Verbindungen zu einem Cluster von Bedrohungsaktivitäten, die dem Phosphorus APT im Jahr 2020 zugeschrieben werden . Die Domain „de-ma[.]online“ unterstrichen in Abbildung 4 hat seit November 2020 keinen aktiven DNS-A-Eintrag.

Verdächtiger_Iran_Nexus_Tag_56_nutzt_Vereinigte_Emirate_Forum_als_Köder_für_Anmeldedatendiebstahl_gegen_US_Denkfabrik_Abbildung_4.png

Abbildung 4: HTML-Code, der Links zu de-ma[.]online verrät Domäne (Quelle: Check Point Research)

Die Insikt Group hat eine wahrscheinliche Wiederverwendung von Code im HTML der gefälschten Registrierungsseite von Sir Bani Yas festgestellt. Eine JavaScript-Funktion listet speziell eine Variable "passwd.trim()=="SaudiG20" auf, Das Ereignis hat wahrscheinlich nichts mit dem Sir Bani Yas-Forum zu tun, sondern ist eher mit dem G20-Treffen verbunden, das 2020 von Saudi-Arabien ausgerichtet wird.

Verdächtiger_Iran_Nexus_Tag_56_nutzt_Vereinigte_Emirate_Forum_als_Köder_für_Anmeldedatendiebstahl_gegen_US_Denkfabrik_Abbildung_5.png

Abbildung 5: Untersuchung des HTML-Codes ergab die Variable „SaudiG20“ in einer JavaScript-Funktion (Quelle: urlscan)

Die gefälschte Anmeldeseite des Sir Bani Yas-Forums enthielt außerdem eine Weiterleitung , die die Zeichenfolge „ continue-to-settings.php “ enthielt. Dieselbe Zeichenfolge wurde in einer anderen Übermittlung an URLScan am 6. August 2021 identifiziert. Diese Einreichung enthüllte eine bösartige Anmeldeseite für Yahoo Mail (ein weiterer Fall von Anmeldeinformationsdiebstahl), aber die für den Angriff verwendete Apex-Domäne war „continuetogo[.]me“. Diese Domain wurde in einem Bericht der Threat Analysis Group von Google im Oktober 2021 erwähnt und wird mit APT35 in Verbindung gebracht. Bedrohungsforscher mehrerer Cybersicherheitsanbieter haben bereits zuvor strategische und technische Überschneidungen zwischen APT35, Charming Kitten, TA453 und APT42 (sowie seinem Vorgänger UNC788)aufgedeckt .

hxxps[:]//weiterzur[.]me/Sec=Tab=settings/id=xxxxx=xxxxx/weiter-zu-settings.php
hxxps[:]//mailer-daemon[.]net/file=sharing=system/file.id.X=xxxxxx/weiter zu settings.php

Abbildung 6: Überschneidungen zwischen zwei separaten Kampagnen, die mit APT35 (von Google zugeschrieben) und TAG-56 verknüpft sind (Quelle: urlscan)

Gegenmaßnahmen

  • Legen Sie robuste Richtlinien fest und führen Sie Sensibilisierungsübungen zu Social Engineering und Anti-Phishing durch, um Angriffe zu erkennen und zu verhindern.
  • Verwenden Sie sichere Passwörter und aktivieren Sie, wenn möglich, die Multi-Faktor-Authentifizierung (MFA), um den potenziellen Schaden durch den Diebstahl von Anmeldeinformationen zu begrenzen.
  • Überwachen Sie mithilfe des Recorded Future Brand Intelligence (BI) -Moduls Domänenmissbrauch, beispielsweise Typosquat-Domänen, die Ihr Unternehmen vortäuschen. Die SecurityTrails-Erweiterung ist für jeden Kunden verfügbar, der ein Abonnement der Module Threat Intelligence (TI) oder BI besitzt. Die LogoType-Quelle und -Alarmierung sind ausschließlich dem BI-Modul vorbehalten, das TI-Modul hat jedoch über den Advanced Query Builder Zugriff auf die Daten.
  • „Kaltakquise“ ist eine gängige Methode, mit der iranische Social-Engineering-Betreiber Kontakt zu Opfern aufnehmen. Hierzu zählen Direktnachrichten auf Social-Media-Plattformen sowie verschlüsselte Chats. Halten Sie Ausschau nach Anzeichen für nicht authentisches oder wiederverwendetes Material und versuchen Sie, wenn möglich, dies direkt bei der Quelle zu überprüfen.
  • Im Playbook „Betrügerische Domains und Typosquats“ von Recorded Future wird die Priorisierung von Typosquatting- oder ähnlichen Domain-Warnungen erläutert. Wenn Sie Ihre Warnmeldungen noch nicht eingerichtet haben, finden Sie weitere Informationen zum Aktivieren zertifizierter Warnmeldungen in der Intelligence Goals Library.

Ausblick

TAG-56 stellt viele der bekannten TTPs dar, die mit Gruppen wie APT42 und Phosphorus in Verbindung stehen. Hierzu gehören die Domänenbenennungskonventionen im Zusammenhang mit der vom Angreifer kontrollierten Infrastruktur, die Verwendung wiederverwendeten Codes und das beabsichtigte Opfer des Anmeldeinformationsdiebstahls. Die Verwendung wiederverwendeten HTML-Codes ist vermutlich ein wiederkehrender Aspekt der Vorgehensweise von TAG-56, der den Angreifern trotz der höheren Wahrscheinlichkeit einer Entdeckung durch Bedrohungsforscher wahrscheinlich immer noch einen ausreichenden Return on Investment (ROI) bietet, um eine Änderung der TTPs nicht zu rechtfertigen.

Über die Opfer der mit APT42 und Phosphorus in Zusammenhang stehenden Bedrohungsaktivitäten wird in offenen Quellen ausführlich berichtet (1, 2, 3), da Think Tanks ihren mutmaßlichen Hintermännern strategische Informationen mit nachrichtendienstlichem Wert liefern. Die mit TAG-56 identifizierte Zielüberschneidung untermauert unsere Einschätzung, dass dieser Bedrohungscluster starke Überschneidungen mit den oben genannten APT-Gruppen aufweist.

Anhang

Domänen:

mailer-daemon[.]net mailer-daemon[.]online mailer-daemon[.]me mailer-daemon[.]org mailer-daemon[.]live de-ma[.]online tinyurl[.]tinte litby[.]us

IP-Adressen:

92.205.13[.]202 162.0.232[.]252 198.54.116[.]118 198.54.115[.]217 199.188.200[.]217

URLs:

hxxps[:]//mailer-daemon[.]net/file=sharing=system/file.id.x=xxxxxx/first.check.html hxxps[:]//continuetogo[.]me/Sec=Tab=settings/id=xxxxx=xxxxx/continue-to-settings.php hxxps[:]//mailer-daemon[.]net/file=sharing=system/file.id.X=xxxxxx/continue-to-settings.php hxxps[:]//mailer-daemon[.]live/sec=file=sharing/check.id=xxxxxxx=xxxxxx/index.php hxxps[:]//tinyurl[.]ink/8tio97cy/Iran%20nuke.docx

SHA256-Hash:

69eb4fca412201039105d862d5f2bf12085d41cb18a93398afef0be8dfb9c229

Datei:

Iranische Atombombe.docx

Verwandt