ClickCease Zardoor-Backdoor-Warnung: Bedrohungsakteure zielen auf islamische Wohltätigkeitsorganisationen

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Zardoor-Backdoor-Warnung: Bedrohungsakteure zielen auf islamische Wohltätigkeitsorganisationen

Wajahat Raja

21. Februar 2024. TuxCare-Expertenteam

In den letzten Cyber-Bedrohungsdaten ist eine ungenannte islamische Non-Profit-Organisation mit Sitz in Saudi-Arabien Opfer einer verdeckten Cyberspionage-Kampagne geworden, bei der eine bisher unbekannte Hintertür namens Zardoor zum Einsatz kam. Entdeckt von Cisco Talos in Mai 2023wurde die Zardoor-Hintertür wahrscheinlich seit März 2021, wobei bisher nur ein einziges Ziel identifiziert wurde, was Anlass zur Sorge über mögliche unentdeckte Opfer gibt.

 

Zardoor Backdoor - Heimliche Taktiken und verlängerter Zugang


Die Sicherheitsforscher Jungsoo An, Wayne Lee und Vanja Svajcer beleuchten die Taktik der Bedrohungsakteure und betonen, dass sie LoLBins (living-off-the-land binaries) einsetzen, um Hintertüren einzubauen, Command-and-Control (C2)
Command-and-Control (C2)und einen verlängerten Zugang aufrechtzuerhalten, ohne Verdacht zu erregen. Dies gibt Anlass zur Sorge über die ausgefeilte Natur solcher gezielten Angriffe und die Fähigkeit der Bedrohungsakteure, über einen längeren Zeitraum unentdeckt zu bleiben.


Details zum Eindringen in die Zardoor-Backdoor


Der Cyberangriff auf die islamische Wohltätigkeitsorganisation umfasste eine regelmäßige Datenexfiltration, die etwa zweimal pro Monat stattfand. Während die genaue anfängliche Zugriffsmethode unbekannt bleibt, nutzten die Angreifer strategisch Zardoor für die Persistenz und setzten Open-Source-Reverse-Proxy-Tools wie Fast Reverse Proxy (FRP), sSocks und Venom für den Aufbau von Command-and-Control-Verbindungen ein.
Fortgeschrittene anhaltende Bedrohungen (APTs) stellen Cybersicherheitsexperten aufgrund ihrer heimlichen und langwierigen Natur vor große Herausforderungen.


Seitliche Bewegung und Einsatz von Werkzeugen


Nach dem Verbindungsaufbau nutzte der Bedrohungsakteur die Windows Management Instrumentation (WMI), um sich seitlich in der angegriffenen Umgebung zu bewegen. Die Forscher stellten fest, dass Zardoor zusammen mit anderen Tools über auf dem Zielsystem gestartete Prozesse eingesetzt wurde, die vom C2 empfangene Befehle ausführten. Diese Methode ermöglichte es dem Angreifer, sich im Netzwerk zu bewegen und dabei die
Malware-Erkennung.


Infektionsweg und Backdoor-Module


Der Infektionsweg umfasst eine
Dropper-Komponente die eine bösartige Dynamic-Link-Library ("oci.dll") bereitstellt, die für die Bereitstellung von zwei Backdoor-Modulen verantwortlich ist, nämlich "zar32.dll" und "zor32.dll". Ersteres dient als Kern-Hintertür für die Befehls- und Kontrollkommunikation, während letzteres für die Bereitstellung von "zar32.dll" mit Administrator-Rechten sicherstellt. Zu den Funktionen von Zardoor gehören die Exfiltration von Daten, die Remote-Ausführung von abgerufenen ausführbaren Dateien und Shellcode, die Aktualisierung von C2-IP-Adressen und die Selbstlöschung vom Host.


Herausforderungen bei der Attribution


Die Herkunft des Bedrohungsakteurs bleibt unklar, da es keine taktischen Überschneidungen mit bekannten, öffentlich gemeldeten Bedrohungsakteuren gibt. Trotzdem wird die Kampagne als das Werk eines
"fortgeschrittenen Bedrohungsakteurs". was die Raffinesse und das Fachwissen hinter der Operation unterstreicht.


Verdeckte Persistenztechniken


Um die Persistenz aufrechtzuerhalten, setzte der Bedrohungsakteur Reverse-Proxys ein, die als geplante Aufgaben registriert wurden, und richtete eine Remote-Port-Weiterleitung über SSH ein. Dieser ausgeklügelte Ansatz ermöglichte eine ständige, verdeckte Verbindung zu dem kompromittierten Netzwerk, wodurch die Datenexfiltration etwa zweimal pro Monat möglich war. 

Der Grad der Raffinesse bei der Entwicklung neuer Tools, der Anpassung bestehender Tools und der Nutzung legitimer Windows-Binärdateien unterstreicht die Fähigkeiten des unbekannten Bedrohungsakteurs. Sicherheit im Wohltätigkeitssektor ist für den Schutz sensibler Daten und die Aufrechterhaltung des Vertrauens bei Spendern und Begünstigten von entscheidender Bedeutung.


Die digitale Landschaft Warnung


Unsere Welt wird immer vernetzter,
Cyberspionage Kampagnen wie Zardoor erinnern uns eindringlich an die versteckten Gefahren in der digitalen Welt. Diese Geschichte von Heimlichkeit und Täuschung unterstreicht die Notwendigkeit von Wachsamkeit und robusten Cybersicherheitsmaßnahmen in der heutigen, sich schnell entwickelnden Landschaft.


Schlussfolgerung


Die Zardoor-Cyberspionage-Kampagne, die auf eine islamische Wohltätigkeitsorganisation abzielt, verdeutlicht die sich weiterentwickelnden Taktiken fortschrittlicher Bedrohungsakteure im digitalen Zeitalter. Es ist wichtig, dass die Benutzer beim Herunterladen von Dateien aus nicht vertrauenswürdigen Quellen vorsichtig sind, da sie Folgendes enthalten können
bösartige Software.

Da Unternehmen bestrebt sind, ihre sensiblen Daten zu schützen, ist es unerlässlich, diese ausgefeilten Techniken zu verstehen und sich darauf einzustellen. Analysieren Sie Trends bei Cyberangriffen ist unerlässlich, um den sich entwickelnden Bedrohungen in der heutigen digitalen Landschaft einen Schritt voraus zu sein. Die Geschichte von Zardoor ist ein Aufruf zum Handeln, der zu einer gemeinsamen Anstrengung zur Stärkung der Cybersicherheitsabwehr und den unsichtbaren Bedrohungen einen Schritt voraus zu sein Cybersicherheitsbedrohungen in den digitalen Schatten.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und BNN.

Zusammenfassung
Zardoor-Backdoor-Warnung: Bedrohungsakteure zielen auf islamische Wohltätigkeitsorganisationen
Artikel Name
Zardoor-Backdoor-Warnung: Bedrohungsakteure zielen auf islamische Wohltätigkeitsorganisationen
Beschreibung
Erfahren Sie, wie Bedrohungsakteure die Zardoor-Hintertür ausnutzen, um eine islamische Wohltätigkeitsorganisation anzugreifen. Erfahren Sie mehr über die Angriffstaktiken und Auswirkungen.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter