Deutsch 
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Irans APT34 greift die VAE mit einem Angriff auf die Lieferkette an
Die mit dem Iran verbundene Advanced Persistent Threat namens APT34 ist erneut am Werk und startet dieses Mal einen Angriff auf die Lieferkette mit dem ultimativen Ziel, sich Zugang zu Regierungszielen in den Vereinigten Arabischen Emiraten (VAE) zu verschaffen.
Maher Yamout, leitender Sicherheitsforscher des EEMEA Research Center bei Kaspersky, sagt, dass die Angreifer ein bösartiges IT-Stellenbewerbungsformular als Lockmittel genutzt haben. APT34 (auch bekannt als OilRig) erstellte eine gefälschte Website, um sich als IT-Unternehmen in den Vereinigten Arabischen Emiraten auszugeben, schickte das Rekrutierungsformular an ein Ziel-IT-Unternehmen und als das Opfer das bösartige Dokument öffnete, um sich vermutlich für die ausgeschriebene IT-Stelle zu bewerben, stahl es Malware hingerichtet.
Laut Yamout sammelte die Malware vertrauliche Informationen und Anmeldeinformationen, die es APT34 ermöglichten, auf die Netzwerke der Kunden des IT-Unternehmens zuzugreifen. Er erklärt, dass der Angreifer dann gezielt darauf abzielte, Regierungskunden ins Visier zu nehmen, indem er die E-Mail-Infrastruktur der IT-Gruppe des Opfers für Command-and-Control-Kommunikation (C2) und Datenexfiltration nutzte. Kaspersky konnte aufgrund der begrenzten nachgelagerten Sichtbarkeit nicht überprüfen, ob die Regierungsangriffe erfolgreich waren, aber angesichts der typischen Erfolgsquote der Gruppe gehen wir davon aus, dass dies mit mittlerer bis hoher Sicherheit der Fall war, sagt Yamout.
Den Recherchen von Kaspersky zufolge ähnelten die in der VAE-Kampagne verwendeten Malware-Samples denen, die bei einem früheren APT34-Einbruch in die Lieferkette in Jordanien verwendet wurden, bei dem ähnliche Taktiken, Techniken und Verfahren (TTPs) zum Einsatz kamen, einschließlich der gezielten Bekämpfung von Regierungsstellen. In diesem Fall vermutete Yamout, dass er vermutete, dass LinkedIn dazu verwendet wurde, ein Stellenformular zu übermitteln, während gleichzeitig die Rekrutierungsbemühungen eines IT-Unternehmens vorgetäuscht wurden.
Der Job-Recruiter-Gambit ist eine Taktik, die im Laufe der Jahre von zahlreichen Cyber-Angriffsorganisationen eingesetzt wurde, darunter in mehr als einem Fall von der nordkoreanischen Lazarus-Gruppe und von Cyber-Angreifern, die sich als Rekrutierer für das Militär ausgeben.
APT34 ist eine iranische Bedrohungsgruppe, die hauptsächlich im Nahen Osten tätig ist und in dieser Region Organisationen aus verschiedenen Branchen ins Visier nimmt. Es wurde zuvor mit anderen Cyberüberwachungsaktivitäten in Verbindung gebracht, beispielsweise mit einem Angriff auf die Vereinigten Arabischen Emirate Anfang dieses Jahres.
Sie führt häufig Angriffe auf die Lieferkette durch, bei denen die Bedrohungsgruppe die Vertrauensbeziehung zwischen Organisationen ausnutzt, um ihre primären Ziele anzugreifen, und gezielt bestimmte Organisationen ins Visier nimmt, die offenbar sorgfältig für strategische Zwecke ausgewählt wurden.
Einer Untersuchung von Mandiant zufolge ist APT34 seit mindestens 2014 in Betrieb, nutzt eine Mischung aus öffentlichen und nichtöffentlichen Tools und führt häufig Spear-Phishing-Operationen mit kompromittierten Konten durch, manchmal gepaart mit Social-Engineering-Taktiken.
„Wir gehen davon aus, dass APT34 im Auftrag der iranischen Regierung arbeitet, basierend auf Infrastrukturdetails, die Hinweise auf den Iran, die Nutzung iranischer Infrastruktur und Zielvorgaben enthalten, die mit nationalstaatlichen Interessen im Einklang stehen“, stellte Mandiant in seinem Bericht fest. Diese Einschätzung wird auch von der US-Regierung geteilt, die im vergangenen Jahr Sanktionen gegen den Iran wegen der Aktivitäten von APT34 verhängt hatte.