image

Grootschalige Iraanse afluisteroperatie onthuld

maandag 21 september 2020, 15:45 door Redactie, 5 reacties

De Iraanse hackergroep RampantKitten heeft langdurig Iraanse expats en dissidenten afgeluisterd en in de gaten gehouden. Daarvoor werd een hele trukendoos aan exploits gebruikt. Onderzoekers van Check Point Software melden dat de grootschalige afluisterzaak minstens zes jaar lang onder de radar is gebleven.

De meeste slachtoffers waren Iraanse staatsburgers, onder wie ook een aantal onderzoekers en journalisten. De aanvallers zijn binnengedrongen op pc’s en smartphones en hebben communicatie via Telegram en diverse social media onderschept of afgeluisterd. Bij het onderzoek zijn vier bestanden geïdentificeerd die informatie stelen van Windows-pc’s. Ook konden de aanvallers toegang krijgen tot Telegram Desktop en bemachtigden ze accountinformatie van KeePass. Verder is er een Android-app aangetroffen waarmee telefoongesprekken afgeluisterd kunnen worden en zijn nep-Telegram-pagina’s geproduceerd en nep-Telegram accounts aangemaakt.

Om toegang te krijgen tot pc’s werd gebruikt gemaakt van een Word-bestand. Het Word-bestand bevatte externe sjablonen waardoor het documentsjabloon van een externe server kon worden geladen met een url die sterk leek op een Sharepoint-server. In het externe sjabloon zit een kwaadaardige macrocode die een batch-bestand laadt en malware installeert. De malware controleert vervolgens of de desktop-versie van Telegram is geïnstalleerd. Als dat het geval is worden drie executable-bestanden geladen die het berichtenverkeer onderscheppen.

Volgens de onderzoekers is het opvallend dat deze middelen zijn ingezet op expats en dissidenten uit Iran. Voorheen werden dergelijke technieken vooral gebruikt bij leden van kleine verzetsbewegingen.

Reacties (5)
21-09-2020, 17:17 door bollie
Om toegang te krijgen tot pc’s werd gebruikt gemaakt van een Word-bestand. Het Word-bestand bevatte externe sjablonen waardoor het documentsjabloon van een externe server kon worden geladen met een url die sterk leek op een Sharepoint-server.

Ik neem aan dat er, na het openen van zo'n document, eerst een pop-up komt waarin toestemming wordt gevraagd, toch?
Ik heb nog niet gehoord van geïnfecteerde word-documenten die malware laden zonder toestemming...
21-09-2020, 17:59 door Anoniem
Door bollie:
Om toegang te krijgen tot pc’s werd gebruikt gemaakt van een Word-bestand. Het Word-bestand bevatte externe sjablonen waardoor het documentsjabloon van een externe server kon worden geladen met een url die sterk leek op een Sharepoint-server.

Ik neem aan dat er, na het openen van zo'n document, eerst een pop-up komt waarin toestemming wordt gevraagd, toch?
Ik heb nog niet gehoord van geïnfecteerde word-documenten die malware laden zonder toestemming...

Bij een Exploit hoeft dat dus niet altijd !
21-09-2020, 18:56 door Anoniem
Door bollie:
Om toegang te krijgen tot pc’s werd gebruikt gemaakt van een Word-bestand. Het Word-bestand bevatte externe sjablonen waardoor het documentsjabloon van een externe server kon worden geladen met een url die sterk leek op een Sharepoint-server.

Ik neem aan dat er, na het openen van zo'n document, eerst een pop-up komt waarin toestemming wordt gevraagd, toch?
Ik heb nog niet gehoord van geïnfecteerde word-documenten die malware laden zonder toestemming...

Zoek even de presentatie "Fun with Excel" op, daar staat het in.
22-09-2020, 10:17 door VriendP
Klinkt mij vooral in de oren als de gebruikelijke laster en smaad richting Iran door de VS en Israel. Ik geloof standaard helemaal niets dat deze twee landen te melden hebben en ga er vanuit dat het tegenovergestelde waar is. Dan zit je meestal redelijk veilig.
22-09-2020, 10:20 door Anoniem
Door bollie:
Om toegang te krijgen tot pc’s werd gebruikt gemaakt van een Word-bestand. Het Word-bestand bevatte externe sjablonen waardoor het documentsjabloon van een externe server kon worden geladen met een url die sterk leek op een Sharepoint-server.

Ik neem aan dat er, na het openen van zo'n document, eerst een pop-up komt waarin toestemming wordt gevraagd, toch?
Ik heb nog niet gehoord van geïnfecteerde word-documenten die malware laden zonder toestemming...
Dat is excel phishing met macro's. Echter kan je ook phishen met exploit code in een pdf file. Dit heet de "payload". Als dan bijvoorbeeld Adobe Reader unpatched of verouderd is, dan is het vatbaar voor deze exploit code ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.