BOSTON (PRWEB) 01 februari 2022

de Cybereaso, het XDR-bedrijf, heeft vandaag aangekondigd dat het heeft ontdekt dat voorheen niet-geïdentificeerde malwarevarianten worden gebruikt in twee afzonderlijke door de Iraanse staat gesponsorde cyberspionage-operaties die gericht zijn op een breed scala aan organisaties in meerdere wereldwijde regio's.

Een van de kwaadaardige operaties is het inzetten van ransomware tegen doelen na data-exfiltratie om schade toe te brengen aan systemen en om forensisch onderzoek te belemmeren, en de andere toonde een verband met de recent gedocumenteerde Memento-ransomware. Dit onderzoek volgt nauw aankondiging door de Cyber ​​National Mission Force (CNMF) van het US Cyber ​​Command over meerdere open-sourcetools die worden misbruikt door Iraanse dreigingsactoren, waarbij Cybereason-onderzoekers op vergelijkbare wijze hebben waargenomen dat open-sourcetools werden misbruikt in beide onderzochte Iraanse aanvalscampagnes.

Het StrifeWater RAT-rapport

Cybereason-onderzoekers ontdekten een voorheen ongedocumenteerde RAT (Remote Access Trojan) genaamd StrifeWater, die het bedrijf toeschrijft aan de Iraanse dreigingsactor Moses Staff. Deze APT is waargenomen gericht op organisaties in de VS, Israël, India, Duitsland, Italië, de Verenigde Arabische Emiraten, Chili en Turkije om de geopolitieke doelen van het Iraanse regime te bevorderen. Nadat ze een organisatie hebben geïnfiltreerd en gevoelige gegevens hebben geëxfiltreerd, zetten de aanvallers destructieve ransomware in om operationele verstoringen te veroorzaken en de taak van forensisch onderzoek moeilijker te maken.

Belangrijkste bevindingen

• Nieuwe Remote Access Trojan (RAT): de voorheen ongedocumenteerde StrifeWater RAT wordt gebruikt in de beginfase van infectie en wordt later vervangen door andere tools, een tactiek die waarschijnlijk wordt gebruikt om de malware tot nu toe onontdekt te laten.
• Verschillende functionaliteiten: de StrifeWater RAT-mogelijkheden omvatten: het weergeven van systeembestanden, het uitvoeren van systeemopdrachten, het maken van schermafbeeldingen, het maken van persistentie en het downloaden van updates en hulpmodules.
• Door de staat gesponsorde ransomware: Moses Staff gebruikt ransomware na exfiltratie - niet voor financieel gewin, maar om operaties te verstoren, spionageactiviteiten te verdoezelen en schade toe te brengen aan systemen om de geopolitieke doelen van Iran te bevorderen.
• Volledig rapport: StrifeWater RAT: Iraanse APT Moses Staff voegt nieuwe trojan toe aan ransomware-operaties

Het PowerLess Backdoor Rapport

Cybereason-onderzoekers ontdekten een nieuwe set tools ontwikkeld door de Phosphorus-groep (AKA Charming Kitten, APT35) die een nieuwe op PowerShell gebaseerde achterdeur bevat die PowerLess wordt genoemd. Cybereason heeft ook een IP-adres waargenomen dat werd gebruikt bij de aanvallen en dat eerder werd geïdentificeerd als onderdeel van de command and control (C2) voor de recent gedocumenteerde Memento-ransomware. Fosfor staat bekend om het aanvallen van medische en academische onderzoeksorganisaties, mensenrechtenactivisten, de mediasector, voor het misbruiken van bekende Microsoft Exchange Server-kwetsbaarheden en voor pogingen om de Amerikaanse verkiezingen te verstoren.

Belangrijkste bevindingen

• Nieuwe PowerShell Backdoor: De voorheen ongedocumenteerde backdoor PowerLess bevat extra payloads, waaronder een keylogger en een info-stealer.
• Ontwijkende PowerShell-uitvoering: de PowerShell-code wordt uitgevoerd in de context van een .NET-toepassing, zodat "powershell.exe" niet wordt gestart, waardoor beveiligingsproducten kunnen worden omzeild.
• Modulaire malware: de geanalyseerde toolset omvat extreem modulaire, uit meerdere fasen bestaande malware die extra payloads in verschillende fasen ontsleutelt en implementeert met het oog op zowel stealth als efficiëntie.
• Gedeelde IOC's met Memento Ransomware: een van de IP-adressen bedient een domein dat wordt gebruikt als commando en controle (C2) voor de recent ontdekte Memento Ransomware.
• Gebruik van openbaar beschikbare exploits: de Phosphorus Group is geobserveerd door misbruik te maken van kwetsbaarheden in Microsoft Exchange (ProxyShell) en Log4j (Log4Shell).
• Volledig rapport: PowerLess Trojan: Iraans APT Phosphorus voegt nieuwe PowerShell-achterdeur toe voor spionage

“Deze campagnes benadrukken de vage lijn tussen dreigingsactoren van de natiestaat en cybercriminaliteit, waar ransomware-bendes vaker APT-achtige tactieken gebruiken om zoveel mogelijk van een gericht netwerk te infiltreren zonder te worden gedetecteerd, en APT’s gebruikmaken van cybercriminaliteitstools zoals ransomware om af te leiden. , vernietigen en uiteindelijk hun sporen uitwissen”, zegt Cybereason mede-oprichter en CEO Lior Div. “Voor Defenders is er niet langer een significant onderscheid tussen tegenstanders van nationale staten en geavanceerde cybercriminele operaties. Daarom is het voor ons als verdedigers van cruciaal belang om gezamenlijk onze detectie- en preventiemogelijkheden te verbeteren als we gelijke tred willen houden met deze zich ontwikkelende bedreigingen.”

Over Cybereason

Cybereason is het XDR-bedrijf dat samenwerkt met Defenders om aanvallen op het eindpunt, in de cloud en in het hele bedrijfsecosysteem te beëindigen. Alleen het AI-gestuurde Cybereason XDR-platform biedt gegevensopname op planetaire schaal, operatiegerichte MalOp™-detectie en voorspellende respons die ongeslagen is tegen moderne ransomware en geavanceerde aanvalstechnieken. Cybereason is een internationaal particulier bedrijf met het hoofdkantoor in Boston en klanten in meer dan 40 landen.

Meer informatie: https://www.cybereason.com/

Volg ons: Blog | Twitter | Facebook

Medienkontakte:

Bill Keeler

Senior directeur, wereldwijde public relations

de Cybereaso

bill.keeler@cybereason.com

(929) 259-3261

Deel artikel op sociale media of e-mail: