Célzott iráni támadások az iraki kormányzati infrastruktúra ellen
A Check Point Research (CPR) az elmúlt hónapokban szorosan figyelemmel kísérte az iraki kormányt célzó kampányt. Ez a kampány egyedi eszközkészletet és infrastruktúrát tartalmaz konkrét célpontok számára, és a térségben működő iráni kiberszereplőkkel általánosan összefüggésbe hozott technikák kombinációját használja. A célzott kampányban használt eszközkészlet egyedi C2 mechanizmusokat alkalmaz, beleértve egy egyedi DNS-tunnel protokollt és egy személyre szabott e-mail alapú C2-csatornát. A C2-csatorna a célszervezeten belül kompromittált e-mail fiókokat használ, ami azt jelzi, hogy a kiberszereplő sikeresen beszivárgott az áldozat hálózatába. Az ilyen jellegzetes C2-mechanizmusok és más, a támadással kapcsolatos nyomok, például rosszindulatú IIS-modulok használata arra utal, hogy a támadó esetleg kapcsolatban áll az APT34-gyel, egy iráni MOIS-hez kapcsolódó csoporttal. Az alkalmazott kártevőcsaládok és módszertan átfedésben vannak a Karkoff, a Saitama és az IIS Group2 csoportokkal, amelyek mindegyike kapcsolatban áll az APT34-gyel.
Az újonnan felfedezett kampány kezdeti fertőzését egy sor olyan fájl indítja el, amelyek kettős kiterjesztést használnak, hogy dokumentumcsatolmánynak álcázzák magukat. A fájlnevek között szerepel például az Avamer.pdf.exe, a Protocol.pdf.exe és az IraqiDoc.docx.rar. A CPR megfigyelt egy olyan fertőzést is, amely egy ncms_demo.msi nevű telepítővel indul. A kezdeti fertőzés valószínűleg valamilyen social engineering tevékenységgel indul.
Ezek a fájlok PowerShell vagy Pyinstaller szkriptek végrehajtását indítják el, amelyek két további fájlt dobnak le: a rosszindulatú program futtatható (EXE) fájlját és a hozzá tartozó konfigurációt. A szkriptek manipulálták a fájlok írási és hozzáférési idejét, és a Windows rendszerleíró adatbázisban a \CurrentVersion\Run alatt bejegyzéseket adtak hozzá a perzisztencia érdekében. A következő szakasz két új kártevőcsalád, a Veaty vagy a Spearal egyikét és azok konfigurációit telepíti.
