BellaCiao
Az iráni kormánnyal kapcsolatba hozható kiberkémkedési csoport egy új, BellaCiao néven azonosított kártevő-implantátummal fertőzte meg a Microsoft Exchange szervereket. A rosszindulatú program DNS-lekérdezéseket használ, hogy IP-címekbe kódolt parancsokat kapjon a támadóktól.
A Bitdefender kutatói szerint úgy tűnik, hogy a támadók minden egyes áldozathoz testreszabják a támadásaikat, így a rosszindulatú program bináris fájlját is, amely olyan kemény kódolt információkat tartalmaz, mint a cégnév, az egyéni aldomainek és az IP-címek. A végrehajtható fájlban hagyott összeállításból származó információk és fájl útvonalak hibakeresése arra utal, hogy a támadók országkódok szerint mappákba rendezik áldozataikat, például IL (Izrael), TR (Törökország), AT (Ausztria), IN (India) vagy IT (Olaszország).
A kártevő mögött álló csoportot a fenyegetéselemzők a Charming Kitten, APT35 vagy Phosphorus néven követik, és feltehetően az Iszlám Forradalmi Gárda (Islamic Revolutionary Guard Corps – IRGC), az iráni hadsereg egyik ága által működtetett hackercsapat.
A telepítést követően az implantátum egy PowerShell-parancs segítségével letiltja a Microsoft Defender-t, és létrehoz egy új szolgáltatást a jelenlét érdekében Microsoft Exchange Services Health vagy Exchange Agent Diagnostic Services néven. A kiválasztott nevek kísérletek arra, hogy beleolvadjanak a valós Exchange-hez kapcsolódó folyamatokba és szolgáltatásokba. A BellaCiao mellett a támadók hátsó ajtókat is telepítettek, amelyek az Internet Information Services (IIS), az Exchange alapját képező webszerver moduljaként működnek. Az egyik egy nyílt forráskódú IIS-hátsó ajtó, az IIS-Raid, a másik pedig egy .NET-ben írt IIS-modul, amelyet hitelesítő adatok ellopására használnak.
A Bitdefender jelentés tartalmazza az azonosításhoz szükséges mutatókat, így a tartományneveket, a fájlneveket és az elérési utat, a PowerShell-szkriptkivonatokat és az IP-címeket.