Neue Malware-Bedrohung aus dem Iran

Ein Forscherteam des Security-Unternehmens Cybereason hat nach eigenen Angaben einen bisher nicht dokumentierten Remote-Access-Trojaner (RAT) identifiziert. Die sogenannte StrifeWater RAT tarne sich als Windows-Binärdatei und ermögliche es den Bedrohungsakteuren Befehle auszuführen, Bildschirmfotos zu erstellen sowie zusätzliche Erweiterungen herunterzuladen, heißt es in ihrem aktuellen Bericht.

Den Wissenschaftlern zufolge wurde die neu entdeckte Malware nur in der Anfangsphase eines Angriffs eingesetzt, um dann durch andere Tools ersetzt zu werden. Diese Taktik dient vermutlich dazu, die Spuren der Angreifer zu verwischen. Hinter der Aktion soll die politisch motivierte iranische Hackergang Moses Stuff stecken. Die Gruppe war auch mit einer Reihe von Spionage- und Sabotageangriffen auf israelische Einrichtungen im Jahr 2021 in Verbindung gebracht worden. Die Security-Fachleute haben festgestellt, dass sich die neue Angriffswelle auch auf Organisationen in den USA, Israel, Indien, Deutschland, Italien, den Vereinigten Arabischen Emiraten, Chile und der Türkei richtet.

"Das finale Ziel von Moses Staff scheint eher politisch als finanziell motiviert zu sein", sagt Tom Fakterman, Sicherheitsanalyst bei Cybereason. Die Gruppe nutze nach der Infiltration weitere Schadsoftware, um den Betrieb zu stören, Spionageaktivitäten zu verschleiern und Systeme zu beschädigen. Es gehe ihr darum, geopolitische Ziele des Iran voranzutreiben.

Zudem haben die Sicherheitsexperten neue bösartige Tools aufgespürt, die von der Phosphorus-Gruppe (auch bekannt als Charming Kitten oder APT35) entwickelt wurden. Darunter befindet sich eine PowerShell-basierte Backdoor mit dem Namen PowerLess, heißt es im Bericht. "Der PowerShell-Code wird im Kontext einer .NET-Anwendung ausgeführt, so dass er nicht die 'powershell.exe' startet. Dies erlaubt es ihm, Sicherheitslösungen zu umgehen", so die Experten.

Darüber hinaus seien Verbindungen zwischen der Phosphorus-Gruppe und der Memento-Ransomware-Gruppe zu beobachten, die erstmals Ende 2021 auftauchte. Diese Gruppe sei dafür bekannt, dass sie Angriffe auf medizinische und akademische Forschungseinrichtungen, Menschenrechtsorganisationen und die Medienbranche verübe und dafür bekannte Schwachstellen im Microsoft Exchange Server ausnutze. Memento Ransomware gehöre zu den Hackergruppen, die versucht haben, die US-Wahlen zu beeinflussen.