Een Iran-nexus-bedreigingsacteur, bekend als UNC1549 wordt met gemiddeld vertrouwen toegeschreven aan een nieuwe reeks aanvallen gericht op de lucht- en ruimtevaart-, luchtvaart- en defensie-industrie in het Midden-Oosten, waaronder Israël en de VAE
Andere doelwitten van de cyberspionageactiviteiten zijn waarschijnlijk Turkije, India en Albanië, aldus Mandiant, eigendom van Google, in een nieuwe analyse.
UNC1549 zou overlappen met Smoke Sandstorm (voorheen Bohrium) en Crimson Sandstorm (voorheen Curium), waarvan de laatste een bij de Islamitische Revolutionaire Garde (IRGC) aangesloten groep is die ook bekend staat als Imperial Kitten, TA456, Tortoiseshell en Yellow Liderc. .
“Deze vermoedelijke UNC1549-activiteit is minstens sinds juni 2022 actief en is nog steeds aan de gang vanaf februari 2024”, aldus het bedrijf. “Hoewel het regionaal van aard is en vooral gericht is op het Midden-Oosten, omvat de doelgroep ook entiteiten die wereldwijd actief zijn.”
De aanvallen omvatten het gebruik van de Microsoft Azure-cloudinfrastructuur voor command-and-control (C2) en social engineering met werkgerelateerde lokmiddelen om twee achterdeurtjes te creëren, genaamd MINIBIKE en MINIBUS.
De spearphishing-e-mails zijn ontworpen om links te verspreiden naar nepwebsites die Israël-Hamas-gerelateerde inhoud of valse vacatures bevatten, wat resulteert in de inzet van een kwaadaardige lading. Ook worden valse inlogpagina’s waargenomen die grote bedrijven nabootsen om inloggegevens te verzamelen.
De op maat gemaakte achterdeuren fungeren bij het tot stand brengen van C2-toegang als kanaal voor het verzamelen van inlichtingen en voor verdere toegang tot het beoogde netwerk. Een ander hulpmiddel dat in dit stadium wordt ingezet, is tunnelsoftware genaamd LIGHTRAIL, die communiceert via de Azure-cloud.
Hoewel MINIBIKE is gebaseerd op C++ en in staat is tot het exfiltreren en uploaden van bestanden en het uitvoeren van opdrachten, fungeert MINIBUS als een meer “robuuste opvolger” met verbeterde verkenningsfuncties.
“De informatie die over deze entiteiten wordt verzameld, is van belang voor strategische Iraanse belangen en kan worden gebruikt voor zowel spionage als kinetische operaties”, aldus Mandiant.
“De ontwijkingsmethoden die in deze campagne worden ingezet, namelijk het op maat gemaakte kunstaas in combinatie met het gebruik van cloudinfrastructuur voor C2, kunnen het voor netwerkverdedigers een uitdaging maken om deze activiteit te voorkomen, op te sporen en te beperken.”
CrowdStrike beschreef in zijn Global Threat Report voor 2024 hoe ‘faketivisten die banden hadden met Iraanse tegenstanders van de staatsnexus en hacktivisten die zichzelf als ‘pro-Palestijns’ bestempelden, zich concentreerden op het aanvallen van kritieke infrastructuur, Israëlische waarschuwingssystemen voor luchtprojectielen en activiteiten bedoeld voor informatieoperaties. in 2023.”
Dit omvat Banished Kitten, die de BiBi wiper-malware heeft losgelaten, en Vengeful Kitten, een alias voor Moses Staff die data-wisactiviteiten heeft geclaimd tegen de industriële controlesystemen (ICS) van meer dan twintig bedrijven in Israël.
Dat gezegd hebbende, zijn aan Hamas gelinkte tegenstanders merkbaar afwezig geweest bij conflictgerelateerde activiteiten, iets wat het cyberbeveiligingsbedrijf heeft toegeschreven aan de waarschijnlijke machts- en internetverstoringen in de regio.
