Nieuwe Iraanse cybercampagne richt zich op Israëlische functionarissen met diepgaande social engineering

Leden van de Islamitische Revolutionaire Garde van Iran (IRGC) werken op computerstations in een ongedateerde afbeelding. Foto Screenshot

Tijdens een briefing met cyberonderzoeker Shimi Cohen en Nir Bar Yosef, hoofd van de cybereenheid van het agentschap, onthulden functionarissen dat de campagne systematisch hooggeplaatste personen in de Israëlische defensie- en overheidssector, en hun familieleden, als doelwit heeft, meldt Ynet.

"Deze campagne markeert een belangrijke evolutie", aldus Bar Yosef. "Cyberaanvallen worden persoonlijker en vergen steeds meer middelen. Het gaat niet langer alleen om het stelen van wachtwoorden, maar om het verkrijgen van langdurige, permanente toegang tot specifieke doelwitten."

De aanvallers investeren dagen of zelfs weken in het opbouwen van ogenschijnlijk legitieme persoonlijke of professionele banden met hun doelwitten. Veelvoorkomende lokkertjes zijn uitnodigingen voor "prestigieuze conferenties" of het plannen van "bijeenkomsten op hoog niveau".

Een van hun belangrijkste tools is WhatsApp, dat wordt gebruikt om contact te leggen. Het berichtenplatform biedt een vertrouwde interface die helpt bij het opbouwen van een vertrouwensband. "De campagne begint met het verzamelen van informatie", legt Cohen uit. "Vervolgens doen de aanvallers zich voor als een legitiem persoon en nemen ze contact op met het doelwit, meestal via WhatsApp."

Zodra het vertrouwen is gevestigd, wordt een kwaadaardige link verzonden, die een complexe aanvalsketen in gang zet. Voor minder waardevolle doelwitten gebruiken aanvallers vooraf ontworpen neppe vergaderpagina's die inloggegevens in realtime vastleggen.

Voor waardevollere individuen is het doel om een ​​geavanceerde backdoor te installeren die door Google "TAMECAT" wordt genoemd. De malware maakt gebruik van PowerShell, een Microsoft-framework voor ontwikkelaars op Windows en Linux, waardoor het voor conventionele beveiligingstools moeilijker wordt om deze te detecteren.

De aanvallers misbruiken ook ingebouwde Windows-functies en het WebDAV-protocol (gebruikt voor browsergebaseerde bewerking van documenten in de cloud) voor payload staging. Om detectie te omzeilen, gebruiken ze een multi-channel command-and-control (C2)-infrastructuur die gebruikmaakt van legitieme platforms zoals Telegram en Discord. Door gevoelige gegevens via deze apps te routeren, valt het verkeer weg in het normale verkeer.

"De innovatie hier ligt in het maskeren van de datastroom", aldus Cohen. "Ze gebruiken legitieme diensten zoals Telegram en Discord als controleservers. Dit maakt het voor traditionele beveiligingssystemen extreem moeilijk om data-exfiltratie te detecteren." Bar Yosef voegde eraan toe: "In dit dreigingslandschap is regel nummer één: verifiëren, verifiëren en nog eens verifiëren."