Check Point Research (CPR), die Forschungsabteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), hat eine neue Hacker-Kampagne namens „Educated Manticore“ entdeckt. Der Name bezieht sich auf das Mantikor-Wesen aus der persischen Mythologie und lässt vermuten, dass der Iran hinter der Kampagne steckt.
Hintergründe
Die Sicherheitsforscher von Check Point haben festgestellt, dass nationale Hacker-Gruppen aus dem Iran ihre Fähigkeiten ständig weiterentwickeln. Ähnlich wie Cyber-Kriminelle passen sie ihre Infektionsketten an sich verändernde IT-Umgebungen an und nutzen nun auch ISO-Dateien, um Schutzmaßnahmen gegen verseuchte Office-Dateien zu umgehen. Die neue Gruppe namens „Educated Manticore“ nutzt selten gesehene Methoden, darunter .NET-Binärdateien, die im gemischten Modus mit Assembler-Code erstellt wurden.
Phishing-Angriffe
Die neue Kampagne besteht hauptsächlich aus Phishing-Angriffen gegen Iraker und Israelis. Dabei wird eine ISO-Image-Datei eingesetzt, da viele Unternehmen und Behörden in letzter Zeit Schutzmaßnahmen gegen verseuchte Office-Dateien wie Word- oder Excel-Dokumente eingerichtet haben. Die Dokumente innerhalb der ISO-Datei sind auf Arabisch und Hebräisch gehalten. Die Sicherheitsforscher vermuten, dass diese Methode nur als Beginn einer Infektionskette fungieren soll, um ein Einfallstor für Malware oder Ransomware zu öffnen.
Zusammenhang mit Phosphorus
Die neue Gruppe scheint mit der berüchtigten APT-Gruppe „Phosphorus“ verbunden zu sein, die aus dem Iran heraus vor allem in und gegen Nord-Amerika sowie den arabischen Raum vorgeht. Die Variante in den ISO-Dateien ist das Update einer älteren Malware, und beide hängen möglicherweise mit Ransomware-Operationen von Phosphorus zusammen.