Der iranische Chafer APT greift den Luftverkehr und die Regierung in Kuwait und Saudi-Arabien an

Forscher haben eine Cyberkriminalitätskampagne der Hacker-Gruppe CHAFER APT aufgedeckt, die offenbar mit der iranischen Regierung in Verbindung steht, und mehrere Opfer des Luftverkehrs und der Regierung entdeckt, in der Hoffnung, Hintertüren zu verbreiten und Daten zu filtern.

Diese Gruppe ist seit 2014 aktiv und hat zuvor Informationsbeschaffungsaktivitäten im Nahen Osten gestartet. Die Angriffe begannen im Jahr 2018 und dauerten im Jahr 2019 und richteten sich gegen mehrere Unternehmen wie Telekommunikation, Reisebranche usw. mit Sitz in Kuwait und Saudi-Arabien.

Die Kampagnen basierten auf mehreren Tools, darunter Tools zum Leben vom Land, die die Zuordnung erschweren, sowie verschiedenen Hacking-Tools und einer speziell angefertigten Hintertür.

Wichtigste Ergebnisse der Analyse

  • Luftverkehr und Regierung waren die Hauptziele
  • Die Aktivitäten der Angreifer fanden am Wochenende statt
  • Bei dem Angriff in Kuwait wurde festgestellt, dass ein Benutzerkonto der Bedrohungsakteure erstellt wurde
  • Der Angriff in Saudi-Arabien stützte sich auf Social Engineering, um Benutzer auszutricksen
  • Beide Angreifer konzentrierten sich auf die Nutzung und Ex-Filterung von Daten

Typische Ziele bei Cyber-Angriffen

Die iranische Gruppe ist dafür bekannt, Kampagnen durchzuführen, die auf politische Ziele und andere Sektoren abzielen, aus denen wertvolle Daten herausgefiltert werden können. Sie verwenden verschiedene irreführende Techniken, einschließlich des Scherens von E-Mails mit schädlichen Dateien oder Links und anderer Hintertüren, um auf das Zielgerät zuzugreifen. Danach können sie die Berechtigungen und andere Aktivitäten leicht erhöhen, um eine vollständige Persistenz im Netzwerk sicherzustellen.

Diese Gruppe zielte bereits zuvor auf den Nahen Osten ab. Mit diesen Angriffen versuchten die Hacker jedoch einen neuen Weg, um das Netzwerk zu gefährden. Bei dem Angriff in Kuwait haben sie ein Benutzerkonto auf dem Gerät erstellt und verschiedene Aktivitäten wie Netzwerk, Scannen, Stehlen von Anmeldeinformationen usw. ausgeführt. Zu diesem Zweck verwenden sie zwei Tools, Mimikatz und CrackMapExec. Bei dem Angriff in Saudi-Arabien haben die Hacker die Leute dazu gebracht, das Remoteverwaltungstool zu installieren und auszuführen.

Während diese beiden die jüngsten Angriffsbeispiele im Nahen Osten sind, ist es wichtig zu verstehen, dass diese Art von Angriff überall auf der Welt stattfinden kann und kritische Infrastrukturen wie Regierung und Luftverkehr weiterhin sehr sensible Ziele sind.