Cyberattacken im Nahen Osten: TA402 greift staatliche Stellen mit komplexen IronWind-Infektionsketten an

Regierungsstellen in Nahost werden vermehrt zur Zielscheibe der cyberkriminellen Gruppe TA402 („Molerats“, „Gaza Cybergang“, „Frankenstein“, „WIRTE“). Das haben IT-Security-Experten von Proofpoint ermittelt. TA402 nutzt komplexe, labyrinthartige Infektionsketten, um die staatlichen Stellen zu attackieren. Bei den Angriffen kommt ein neuer Downloader für den Primärzugang zum Einsatz, den die Proofpoint-Forscher IronWind getauft haben. Zwischen Juli und Oktober 2023 griff TA402 auf drei Varianten dieser Infektionskette zurück: Dropbox-Links, XLL-Dateianhänge und RAR-Dateianhänge. Diesen Varianten war gemein, dass sie zum Download einer DLL führten, die eine multifunktionale Malware enthielt.

Bei TA402 (Threat Actor 402) handelt es sich um eine APT-Gruppe (Advanced Persistent Threat), die in der Vergangenheit durch Aktionen aufgefallen ist, die palästinensischen Interessen dienen. Es besteht die Möglichkeit, dass die Täter ihre Ressourcen im Zuge der weiteren Entwicklung im Nahen Osten neu ausrichten.

„Wenn es um staatliche Akteure im Bereich Cybercrime geht, erhalten Nordkorea, Russland, China und der Iran im Allgemeinen die meiste Aufmerksamkeit. Aber TA402, eine APT-Gruppe aus dem Nahen Osten, die in der Vergangenheit in den palästinensischen Gebieten operierte, hat sich immer wieder als faszinierender Bedrohungsakteur erwiesen, der in der Lage ist, hochentwickelte Cyberspionage mit Schwerpunkt auf Informationsbeschaffung zu betreiben“, kommentiert Joshua Miller, Senior Threat Researcher bei Proofpoint. „Der anhaltende Konflikt im Nahen Osten scheint ihre laufenden Operationen nicht zu beeinträchtigen, weil sie nach wie vor neue und raffinierte Verbreitungsmethoden einsetzen, um der Erkennung zu entgehen. TA402 nutzt komplexe Infektionsketten und entwickelt neue Malware, um ihre Ziele anzugreifen, und führt weiterhin sehr zielgerichtete Aktionen mit Schwerpunkt auf Regierungsstellen im Nahen Osten und Nordafrika durch.“

Die wichtigsten Erkenntnisse von Proofpoint im Überblick

  • Von Juli bis Oktober 2023 beobachteten die Security-Experten von Proofpoint, dass TA402 Phishing-Kampagnen durchführte, die einen neuen Downloader mit dem Namen IronWind für den primären Zugang verbreiten sollten. Nach dem Downloader folgten weitere Infektionsstufen, die auf heruntergeladenem Shell-Code basierten.
  • Im gleichen Zeitraum passte TA402 seine Verbreitungsmethoden an und nutzte nicht mehr Dropbox-Links, sondern XLL- und RAR-Dateianhänge, mutmaßlich um etwaige Erkennungsmaßnahmen zu umgehen.
  • Diese Cybercrime-Gruppe hat stets extrem gezielte Attacken durchgeführt, bei denen jeweils weniger als fünf Organisationen pro Kampagne angegriffen wurden. Dabei konzentrieren sich die Täter besonders auf staatliche Stellen im Nahen Osten und Nordafrika.
  • Proofpoint beobachtet TA402 seit 2020. Die Erkenntnisse von Proofpoint weisen Überschneidungen mit Berichten über Aktivitäten von Molerats, Gaza Cybergang, Frankenstein und WIRTE auf.

Eine detailliere Analyse der von Proofpoint beobachteten TA402-Kampagnen und der technischen Details zum Downloader IronWind finden Sie im neuesten, englischsprachigen Threat Blog des Unternehmens.

Firmenkontakt und Herausgeber der Meldung:

Proofpoint
Zeppelinstr. 73
80333 München
Telefon: +49 (871) 78064258
http://www.proofpoint.com/de

Ansprechpartner:
Matthias Uhl
iCom GmbH
Telefon: +49 (89) 80090-819
Fax: +49 (89) 80090-810
E-Mail: matthias.uhl@axicom.com
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel