Check Point Research (CPR), die Forschungsabteilung von Check Point Software Technologies , berichtet, dass sie einer neuen Hacker-Kampagne auf der Spur sind. Dieses Activity-Cluster wurde Educated-Manticore benannt, nach dem Mantikor-Wesen aus der persischen Mythologie, womit die Sicherheitsforscher schon dem Namen nach klarstellen wollen, welche Nation sie hinter der Kampagne vermuten.
Sergey Shykevich, Threat Group Manager bei Check Point Software Technologies, kommentiert: „In unserer Studie beleuchten wir die andauernde Entwicklung der Fähigkeiten nationalstaatlicher Hacker-Gruppen aus dem Iran. Ähnlich zu gewöhnlichen Cyber-Kriminellen, die ihre Infektions-Ketten an die sich verändernden IT-Umgebungen anpassen, nutzen nationalstaatliche Hacker nun auch ISO-Dateien, um neue Maßnahmen gegen die bislang gern genommen, verseuchten Office-Dateien zu umgehen. Bei diesem Akteur wurden jedoch auch die Tools verbessert, was Irans dauernde Investition in die Erweiterung seiner staatlichen IT-Fähigkeiten andeutet.“
Phosphorus ist eine berüchtigte APT-Gruppe (Advanced Persistent Threat), die aus dem Iran heraus vor allem in und gegen Nord-Amerika sowie den arabischen Raum vorgeht. Die neue Gruppe, die mit Phosphorus verbunden zu sein scheint, nutzt selten gesehene Methoden, darunter .NET-Binär-Dateien, die im gemischten Modus mit Assembler-Code erstellt wurden. Die neue Kampagne besteht hauptsächlich aus Phishing gegen Iraker und Israelis, wobei eine ISO-Image-Datei zum Einsatz kommt, da in letzter Zeit viele Schutzmaßnahmen gegen verseuchte Office-Dateien, wie vermeintliche Word- oder Excel-Dokumente, von Unternehmen und Behörden eingerichtet wurden. Innerhalb der ISO-Datei waren die Dokumente auf Arabisch und Hebräisch gehalten worden.
Die Sicherheitsforscher von Check Point vermuten, dass diese Methode nur als Beginn einer Infektionskette fungieren soll, um ein Einfallstor für Malware oder Ransomware zu öffnen, denn: Die Variante in den ISO-Dateien ist das Update einer älteren Malware, und beide hängen vielleicht mit Ransomware-Operationen von Phosphorus zusammen. Aus diesem Grund raten die Experten allen IT-Entscheidern, regelmäßig die Patches und Updates ihrer Sicherheitsprodukte und Anwendungen einzuspielen, die Mitarbeiter (auch die Führungsebene) in der IT-Sicherheit grundlegend gegen Bedrohungen zu schulen und einen konsolidierten Ansatz bei der Anschaffung von IT-Sicherheitslösungen zu bevorzugen, statt einen Wildwuchs aus verschiedenen Einzellösungen zu kaufen, die schlecht zusammenarbeiten und somit Lücken in der Verteidigung lassen. Automatisierte Bedrohungserkennung und -abwehr sind unumgänglich geworden, sowie eine automatisierte E-Mail-Überwachung (vor allem der Anhänge) und E-Mail-Abwehr. Dies gilt ebenso für Dateien und ihre Aktivitäten auf den Rechnern im Netzwerk. Die Bindung an eine Threat-Intelligence-Cloud, wie Check Point sie bereitstellt, hilft ebenfalls enorm, da sie in Echtzeit an die Sicherheitslösung, die zentral gesteuert wird, Bedrohungsdaten und Reaktionsdaten aus aller Welt liefert.
#CheckPoint