Nieuwe cyberdreiging richt zich op diplomaten uit Azerbeidzjan en Israël en steelt gevoelige gegevens

Een tot nu toe onbekende dreigingsactor wordt verantwoordelijk geacht voor een reeks aanvallen op Azerbeidzjan en Israël met als doel gevoelige gegevens te stelen.

De aanvalscampagne, die op 1 juli 2024 door NSFOCUS werd ontdekt, maakte gebruik van spear-phishing-e-mails om Azerbeidzjaanse en Israëlische diplomaten eruit te pikken. De activiteit wordt gevolgd onder de naam Acteur240524.

“Actor240524 kan geheimen stelen en bestandsgegevens wijzigen. Hierbij wordt gebruikgemaakt van diverse tegenmaatregelen om te voorkomen dat aanvalstactieken en -technieken te veel worden blootgesteld”, aldus het cyberbeveiligingsbedrijf in een vorige week gepubliceerde analyse.

De aanvalsketens beginnen met het gebruik van phishing-e-mails met Microsoft Word-documenten. Bij het openen van de e-mails wordt de ontvanger gevraagd om de inhoud in te schakelen en een schadelijke macro uit te voeren die verantwoordelijk is voor het uitvoeren van een tussenliggende loader-payload met de codenaam ABCloader (“MicrosoftWordUpdater.log”).

In de volgende stap fungeert ABCloader als kanaal om een ​​DLL-malware met de naam ABCsync (“synchronize.dll”) te decoderen en te laden. Deze DLL maakt vervolgens contact met een externe server (“185.23.253(.)143”) om opdrachten te ontvangen en uit te voeren.

Diplomaten uit Azerbeidzjan en Israël

“De belangrijkste functie is om de actieve omgeving te bepalen, het programma te decoderen en de daaropvolgende DLL (ABCsync) te laden”, aldus NSFOCUS. “Vervolgens voert het verschillende anti-sandbox- en anti-analysetechnieken uit voor omgevingsdetectie.”

Enkele belangrijke functies van ABCsync zijn het uitvoeren van externe shells, het uitvoeren van opdrachten met behulp van cmd.exe en het exfiltreren van systeemgegevens en andere gegevens.

Zowel ABCloader als ABCsync zijn waargenomen bij het gebruik van technieken zoals string-encryptie om belangrijke bestandspaden, bestandsnamen, sleutels, foutmeldingen en command-and-control (C2)-adressen te verbergen. Ze voeren ook verschillende controles uit om te bepalen of de processen worden gedebugged of uitgevoerd in een virtuele machine of sandbox door de schermresolutie te valideren.

Een andere belangrijke stap die Actor240524 neemt, is dat het controleert of het aantal processen dat op het gecompromitteerde systeem wordt uitgevoerd, minder dan 200 bedraagt. Als dat het geval is, verlaat het het schadelijke proces.

ABCloader is ook ontworpen om een ​​vergelijkbare loader te starten met de naam “synchronize.exe” en een DLL-bestand met de naam “vcruntime190.dll” of “vcruntime220.dll”, die persistentie op de host kunnen instellen.

“Azerbeidzjan en Israël zijn bondgenoten met nauwe economische en politieke uitwisselingen,” aldus NSFOCUS. “De operatie van Actor240524 is deze keer waarschijnlijk gericht op de samenwerkingsrelatie tussen de twee landen, gericht op phishingaanvallen op diplomatiek personeel van beide landen.”

Thijs Van der Does