Iraanse cybergroep boorplatform richt zich op Iraakse regering met geavanceerde malware-aanval

De netwerken van de Iraakse overheid zijn het doelwit geworden van een “uitgebreide” cyberaanvalcampagne die is georkestreerd door een door de Iraanse staat gesponsorde dreigingsactor, genaamd Booreiland.

De aanvallen waren gericht op Iraakse organisaties zoals het kantoor van de premier en het ministerie van Buitenlandse Zaken, aldus cyberbeveiligingsbedrijf Check Point in een nieuwe analyse.

OilRig, ook wel APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm (voorheen EUROPIUM) en Helix Kitten genoemd, is een Iraanse cybergroep die verbonden is aan het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS).

De groep is al sinds 2014 actief en heeft een staat van dienst als het gaat om het uitvoeren van phishingaanvallen in het Midden-Oosten om diverse aangepaste backdoors te installeren, zoals Karkoff, Shark, Marlin, Saitama, MrPerfectionManager, PowerExchange, Solar, Mango en Menorah voor informatiediefstal.

De nieuwste campagne vormt hierop geen uitzondering, omdat hierbij gebruik wordt gemaakt van een nieuwe reeks malwarefamilies met de naam Veaty en Spearal. Deze families beschikken over de mogelijkheid om PowerShell-opdrachten uit te voeren en interessante bestanden te verzamelen.

“De toolset die in deze gerichte campagne wordt gebruikt, maakt gebruik van unieke command-and-control (C2)-mechanismen, waaronder een aangepast DNS-tunnelingprotocol en een op maat gemaakt e-mailgebaseerd C2-kanaal”, aldus Check Point.

“Het C2-kanaal maakt gebruik van gecompromitteerde e-mailaccounts binnen de beoogde organisatie, wat erop wijst dat de kwaadwillende partij met succes de netwerken van het slachtoffer is binnengedrongen.”

Sommige acties die de aanvaller ondernam bij het uitvoeren van de aanval en daarna, kwamen overeen met tactieken, technieken en procedures (TTP’s) die OilRig in het verleden heeft gebruikt bij soortgelijke operaties.

Dit omvat het gebruik van e-mailgebaseerde C2-kanalen, met name het benutten van eerder gecompromitteerde e-mailmailboxen om opdrachten uit te geven en gegevens te exfiltreren. Deze modus operandi is gebruikelijk bij verschillende backdoors, zoals Karkoff, MrPerfectionManager en PowerExchange.

De aanvalsketen wordt gestart via misleidende bestanden die zich voordoen als goedaardige documenten (“Avamer.pdf.exe” of “IraqiDoc.docx.rar”) die, wanneer ze worden gelanceerd, de weg vrijmaken voor de implementatie van Veaty en Spearal. Het infectiepad zou waarschijnlijk een element van social engineering hebben omvat.

De bestanden starten de uitvoering van tussenliggende PowerShell- of Pyinstaller-scripts, die op hun beurt de uitvoerbare malwarebestanden en de bijbehorende XML-gebaseerde configuratiebestanden, die informatie over de C2-server bevatten, plaatsen.

“De Spearal-malware is een .NET-backdoor die DNS-tunneling gebruikt voor (C2)-communicatie,” aldus Check Point. “De gegevens die tussen de malware en de C2-server worden overgedragen, worden gecodeerd in de subdomeinen van DNS-query’s met behulp van een aangepast Base32-schema.”

Spearal is ontworpen om PowerShell-opdrachten uit te voeren, bestandsinhoud te lezen en deze te verzenden in de vorm van Base32-gecodeerde gegevens, en gegevens op te halen van de C2-server en deze naar een bestand op het systeem te schrijven.

Veaty, ook geschreven in .NET, maakt gebruik van e-mails voor C2-communicatie met als einddoel het downloaden van bestanden en het uitvoeren van opdrachten via specifieke mailboxen die behoren tot het domein gov-iq.net. De opdrachten maken het mogelijk om bestanden te uploaden/downloaden en PowerShell-scripts uit te voeren.

Check Point meldde dat de analyse van de infrastructuur van de dreigingsactoren heeft geleid tot de ontdekking van een ander XML-configuratiebestand dat waarschijnlijk verband houdt met een derde SSH-tunnelingbackdoor.

Verder werd een HTTP-gebaseerde backdoor geïdentificeerd, CacheHttp.dll, die zich richt op de Internet Information Services (IIS)-servers van Microsoft en binnenkomende webaanvragen onderzoekt op ‘OnGlobalPreBeginRequest’-gebeurtenissen en opdrachten uitvoert wanneer deze zich voordoen.

“Het uitvoeringsproces begint met het controleren of de Cookie-header aanwezig is in binnenkomende HTTP-verzoeken en leest tot het; teken,” aldus Check Point. “De hoofdparameter is F=0/1, wat aangeeft of de backdoor zijn opdrachtconfiguratie initialiseert (F=1) of de opdrachten uitvoert op basis van deze configuratie (F=0).”

De schadelijke IIS-module, die een verdere ontwikkeling is van malware die in augustus 2021 door ESET werd geclassificeerd als Groep 2 en een andere APT34 IIS-backdoor met de codenaam RGDoor, ondersteunt de uitvoering van opdrachten en lees-/schrijfbewerkingen voor bestanden.

“Deze campagne tegen de infrastructuur van de Iraakse overheid onderstreept de aanhoudende en gerichte inspanningen van Iraanse actoren die in de regio actief zijn”, aldus het bedrijf.

“De implementatie van een aangepast DNS-tunnelingprotocol en een e-mailgebaseerd C2-kanaal dat gebruikmaakt van gecompromitteerde accounts, onderstreept de doelbewuste poging van Iraanse actoren om gespecialiseerde commando- en controlemechanismen te ontwikkelen en te onderhouden.”

Thijs Van der Does