Bezbjednosna kompanija Proofpoint upozorava na visoko ciljanu kampanju usmjerenu na više organizacija u Ujedinjenim Arapskim Emiratima (UAE) u različitim sektorima, u kojoj je korišten novi backdoor nazvan Sosano.
Ove napade izvela je iranska hakerska grupa označena kao UNK_CraftyCamel, koristeći poliglot fajlove za prikrivanje malicioznog koda – tehniku koja se rijetko viđa u špijunskim operacijama.
Napad preko kompromitovanog mejla
Prema Proofpointu, napadači su u oktobru 2024. kompromitovali e-mail nalog indijske kompanije iz oblasti elektronike i koristili ga za slanje malicioznih poruka organizacijama u UAE. Ciljevi su bili iz avijacije, satelitskih komunikacija i kritične transportne infrastrukture.
Mejlovi su sadržali maliciozni URL za preuzimanje ZIP arhive, koja je izgledala kao XLS fajl, ali je zapravo bila LNK fajl sa duplom ekstenzijom. Osim toga, paket je uključivao i dva PDF dokumenta koji su zapravo bili poliglot fajlovi – jedan kombinovan sa HTA skriptom, a drugi sa ZIP arhivom.
Kako funkcionišu poliglot fajlovi?
Poliglot fajlovi su pažljivo konstruisani tako da mogu biti interpretirani na više načina, zavisno od toga kako ih sistem tumači. U ovom slučaju:
- LNK fajl je pokretao komande za analiziranje PDF/HTA poliglot fajla i izvršavanje njegovog sadržaja.
- HTA skripta je kreirala izvršni fajl i upisivala URL u sistemski registar radi postizanja trajnosti napada.
- Na kraju procesa, izvršavao se Sosano bekdor, maliciozni softver napisan u programskom jeziku Go.
Funkcionalnost malvera
Backdoor Sosano ima ograničene mogućnosti. Nakon što se aktivira, prvo čeka nasumičan vremenski period, a zatim pokušava da kontaktira komandno-kontrolni (C&C) server radi primanja dodatnih komandi.
Prema Proofpoint analizi, malver može:
- Identifikovati trenutni direktorijum i mijenjati radni direktorijum,
- Prikazati sadržaj direktorijuma,
- Preuzeti i učitati dodatne fajlove,
- Obrisati direktorijum,
- Izvršavati shell komande.
Takođe, malver je bio dizajniran da preuzme i pokrene dodatni fajl nazvan cc.exe, ali on nije bio dostupan na udaljenom serveru.
Povezanost sa iranskim grupama
Stručnjaci iz Proofpointa navode da aktivnosti grupe UNK_CraftyCamel ne odgovaraju poznatim operacijama drugih hakera, ali da je očigledno da napadači nastoje da ostanu neprimijećeni.
Ipak, korištene taktike, tehnike i procedure (TTP) pokazuju sličnosti sa TA451 i TA455, hakerskim grupama koje se povezuju sa Iranskom revolucionarnom gardom (IRGC).
„Naša analiza sugeriše da je ova kampanja vjerovatno djelo hakera povezanih sa Iranom, potencijalno u vezi sa Iranskom revolucionarnom gardom (IRGC). Ciljani sektori su ključni za ekonomsku stabilnost i nacionalnu bezbjednost, što ih čini vrijednim obavještajnim metama u širem geopolitičkom kontekstu“, izjavio je istraživač prijetnji iz Proofpointa, Džošua Miler.
Izvor: SecurityWeek
