Check Point hat neue Aktivitäten der mit dem iranischen Staat verbundenen APT-Gruppe Nimbus Manticore aufgedeckt. Der seit langer Zeit aktive Akteur, der sich bisher auf den Nahen Osten konzentriert hat, richtet sein Augenmerk nun auch auf Europa. Dort hat er kürzlich Kampagnen gegen Verteidigungs-, Telekommunikations- und Luftfahrtunternehmen in Dänemark, Schweden und Portugal durchgeführt.
Diese Untersuchung deckt eine neue Phase in den Cyber-Operationen von Nationalstaaten auf, in der fortschrittliche Malware-Technik mit kommerziellen Cloud-Diensten kombiniert wird. Dadurch werden Kampagnen heimlicher und schwerer zu unterbinden.
In der Untersuchung wird das hochentwickelte Ökosystem aus Spear-Phishing und Malware-Verbreitung beleuchtet, einschließlich neuer Tools wie der Backdoor „MiniJunk“ und dem Stealer „MiniBrowse“.
Neue Malware-Entwicklung und unterschiedliche Verschleierungstechniken
- Spezialisierte Malware-Entwicklung: MiniJunk führt undokumentierte DLL-Sideloading-Techniken auf Low-Level-API-Basis ein, um eine mehrstufige DLL-Sideloading-Kette aufzubauen -eine neue, ausgeklügelte Umgehungstaktik.
- Mehrstufige Verschleierung: Die Malware nutzt LLVM-Verschleierung auf Compiler-Ebene, das Einfügen von Junk-Code und die Vergrößerung der Binärdatei, um für statische Analysen unumkehrbar zu bleiben und die Endpunkt-Erkennung zu umgehen. Einige der größten analysierten Samples wurden von VirusTotal nach wie vor nicht erkannt.
- Maßgeschneidertes Spear-Phishing: Jedes Opfer erhält eine eindeutige URL und Anmeldedaten für gefälschte Karriereportale der Luft- und Raumfahrt- und Verteidigungsindustrie. Diese basieren auf React-Vorlagen, geben sich als Boeing, Airbus, Rheinmetall, flydubai usw. aus und weisen eine starke OPSEC sowie glaubwürdige Vorwände auf.
- Stealer-Komponente: MiniBrowse-Varianten schleusen sich in Chrome- oder Edge-Browser ein, um gespeicherte Anmeldedaten zu extrahieren und sie an rotierende, Azure-basierte C2-Server zu exfiltrieren.
- Infrastrukturwechsel: Nimbus Manticore ist von klassischen Servern auf eine robuste, cloud-basierte Infrastruktur (Azure App Service und Cloudflare) umgestiegen, um Redundanz und Anonymität zu gewährleisten.
Die plötzliche Verlagerung nach Europa, insbesondere in die Bereiche der Telekommunikation und Verteidigung, steht im Einklang mit den Prioritäten des iranischen IRGC (Islamic Revolutionary Guard Corps) im Bereich der Nachrichtendienste.
Dies könnte auf einen erweiterten Erfassungsbedarf für bestimmte technische Punkte von Interesse hindeuten. Dies unterstreicht auch die zunehmende Professionalisierung der Vorgehensweisen iranischer nationalstaatlicher Akteure, einschließlich der Verwendung begehrter Köder, die sich auf Jobs beziehen, um an hochkarätige Ziele heranzukommen.