Zardoor-Backdoor-Warnung: Bedrohungsakteure zielen auf islamische Wohltätigkeitsorganisationen
In den letzten Cyber-Bedrohungsdaten ist eine ungenannte islamische Non-Profit-Organisation mit Sitz in Saudi-Arabien Opfer einer verdeckten Cyberspionage-Kampagne geworden, bei der eine bisher unbekannte Hintertür namens Zardoor zum Einsatz kam. Entdeckt von Cisco Talos in Mai 2023wurde die Zardoor-Hintertür wahrscheinlich seit März 2021, wobei bisher nur ein einziges Ziel identifiziert wurde, was Anlass zur Sorge über mögliche unentdeckte Opfer gibt.
Zardoor Backdoor - Heimliche Taktiken und verlängerter Zugang
Die Sicherheitsforscher Jungsoo An, Wayne Lee und Vanja Svajcer beleuchten die Taktik der Bedrohungsakteure und betonen, dass sie LoLBins (living-off-the-land binaries) einsetzen, um Hintertüren einzubauen, Command-and-Control (C2) Command-and-Control (C2)und einen verlängerten Zugang aufrechtzuerhalten, ohne Verdacht zu erregen. Dies gibt Anlass zur Sorge über die ausgefeilte Natur solcher gezielten Angriffe und die Fähigkeit der Bedrohungsakteure, über einen längeren Zeitraum unentdeckt zu bleiben.
Details zum Eindringen in die Zardoor-Backdoor
Der Cyberangriff auf die islamische Wohltätigkeitsorganisation umfasste eine regelmäßige Datenexfiltration, die etwa zweimal pro Monat stattfand. Während die genaue anfängliche Zugriffsmethode unbekannt bleibt, nutzten die Angreifer strategisch Zardoor für die Persistenz und setzten Open-Source-Reverse-Proxy-Tools wie Fast Reverse Proxy (FRP), sSocks und Venom für den Aufbau von Command-and-Control-Verbindungen ein. Fortgeschrittene anhaltende Bedrohungen (APTs) stellen Cybersicherheitsexperten aufgrund ihrer heimlichen und langwierigen Natur vor große Herausforderungen.
Seitliche Bewegung und Einsatz von Werkzeugen
Nach dem Verbindungsaufbau nutzte der Bedrohungsakteur die Windows Management Instrumentation (WMI), um sich seitlich in der angegriffenen Umgebung zu bewegen. Die Forscher stellten fest, dass Zardoor zusammen mit anderen Tools über auf dem Zielsystem gestartete Prozesse eingesetzt wurde, die vom C2 empfangene Befehle ausführten. Diese Methode ermöglichte es dem Angreifer, sich im Netzwerk zu bewegen und dabei die Malware-Erkennung.
Infektionsweg und Backdoor-Module
Der Infektionsweg umfasst eine Dropper-Komponente die eine bösartige Dynamic-Link-Library ("oci.dll") bereitstellt, die für die Bereitstellung von zwei Backdoor-Modulen verantwortlich ist, nämlich "zar32.dll" und "zor32.dll". Ersteres dient als Kern-Hintertür für die Befehls- und Kontrollkommunikation, während letzteres für die Bereitstellung von "zar32.dll" mit Administrator-Rechten sicherstellt. Zu den Funktionen von Zardoor gehören die Exfiltration von Daten, die Remote-Ausführung von abgerufenen ausführbaren Dateien und Shellcode, die Aktualisierung von C2-IP-Adressen und die Selbstlöschung vom Host.
Herausforderungen bei der Attribution
Die Herkunft des Bedrohungsakteurs bleibt unklar, da es keine taktischen Überschneidungen mit bekannten, öffentlich gemeldeten Bedrohungsakteuren gibt. Trotzdem wird die Kampagne als das Werk eines "fortgeschrittenen Bedrohungsakteurs". was die Raffinesse und das Fachwissen hinter der Operation unterstreicht.
Verdeckte Persistenztechniken
Um die Persistenz aufrechtzuerhalten, setzte der Bedrohungsakteur Reverse-Proxys ein, die als geplante Aufgaben registriert wurden, und richtete eine Remote-Port-Weiterleitung über SSH ein. Dieser ausgeklügelte Ansatz ermöglichte eine ständige, verdeckte Verbindung zu dem kompromittierten Netzwerk, wodurch die Datenexfiltration etwa zweimal pro Monat möglich war.
Der Grad der Raffinesse bei der Entwicklung neuer Tools, der Anpassung bestehender Tools und der Nutzung legitimer Windows-Binärdateien unterstreicht die Fähigkeiten des unbekannten Bedrohungsakteurs. Sicherheit im Wohltätigkeitssektor ist für den Schutz sensibler Daten und die Aufrechterhaltung des Vertrauens bei Spendern und Begünstigten von entscheidender Bedeutung.
Die digitale Landschaft Warnung
Unsere Welt wird immer vernetzter, Cyberspionage Kampagnen wie Zardoor erinnern uns eindringlich an die versteckten Gefahren in der digitalen Welt. Diese Geschichte von Heimlichkeit und Täuschung unterstreicht die Notwendigkeit von Wachsamkeit und robusten Cybersicherheitsmaßnahmen in der heutigen, sich schnell entwickelnden Landschaft.
Schlussfolgerung
Die Zardoor-Cyberspionage-Kampagne, die auf eine islamische Wohltätigkeitsorganisation abzielt, verdeutlicht die sich weiterentwickelnden Taktiken fortschrittlicher Bedrohungsakteure im digitalen Zeitalter. Es ist wichtig, dass die Benutzer beim Herunterladen von Dateien aus nicht vertrauenswürdigen Quellen vorsichtig sind, da sie Folgendes enthalten können bösartige Software.
Da Unternehmen bestrebt sind, ihre sensiblen Daten zu schützen, ist es unerlässlich, diese ausgefeilten Techniken zu verstehen und sich darauf einzustellen. Analysieren Sie Trends bei Cyberangriffen ist unerlässlich, um den sich entwickelnden Bedrohungen in der heutigen digitalen Landschaft einen Schritt voraus zu sein. Die Geschichte von Zardoor ist ein Aufruf zum Handeln, der zu einer gemeinsamen Anstrengung zur Stärkung der Cybersicherheitsabwehr und den unsichtbaren Bedrohungen einen Schritt voraus zu sein Cybersicherheitsbedrohungen in den digitalen Schatten.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und BNN.