Iranische Hacker kompromittieren über 100 Botschafts-E-Mail-Konten weltweit
Cyberspione mit Verbindungen zum Iran sollen eine koordinierte Phishing-Kampagne gegen diplomatische Einrichtungen in Europa, Afrika, Asien und Amerika durchgeführt haben. Dabei verwendeten sie 104 gehackte E-Mail-Adressen von Regierungsvertretern.
Die israelische Cybersicherheitsfirma Dream hat eine umfangreiche Spear-Phishing-Kampagne aufgedeckt, die iranischen Hackern zugeschrieben wird. Laut dem Unternehmen richtete sich die Attacke gegen Botschaften, Konsulate und internationale Organisationen auf mehreren Kontinenten. Die Angreifer sollen dabei E-Mails verschickt haben, die sich als legitime diplomatische Kommunikation tarnten.
Dream verbindet die Aktivitäten mit iranischen Operateuren, die zur Hackergruppe Homeland Justice gehören sollen. Die Kampagne fand laut den Forschern während einer Zeit erhöhter geopolitischer Spannungen statt und zielte auf eine „breitere regionale Spionageaktivität“ gegen diplomatische und staatliche Einrichtungen ab.
Globale Reichweite mit Fokus auf Europa und Afrika
Die Phishing-E-Mails erreichten laut Dream Empfänger im Nahen Osten, Afrika, Europa, Asien und Amerika. Europäische Botschaften und afrikanische Organisationen sollen dabei am stärksten ins Visier genommen worden sein. Die Angreifer verwendeten 104 einzigartige kompromittierte E-Mail-Adressen von Beamten und pseudo-staatlichen Einrichtungen, um ihren Nachrichten zusätzliche Glaubwürdigkeit zu verleihen.
Mindestens ein Teil der E-Mails stammte laut Dream aus einer gehackten Mailbox des omanischen Außenministeriums in Paris. Die Nachrichten bezogen sich konsistent auf dringende Mitteilungen von Außenministerien und nutzten die übliche Praxis aus, Makros zu aktivieren, um auf Inhalte zuzugreifen.
Technischer Ablauf über VBA-Makros
Die Angriffskette funktionierte laut Dream über Spear-Phishing-E-Mails mit Themen zu geopolitischen Spannungen zwischen Iran und Israel. Diese enthielten bösartige Microsoft Word-Dokumente, die beim Öffnen die Empfänger aufforderten, „Inhalt aktivieren“ zu wählen. Dadurch sollte ein eingebettetes Visual Basic for Applications (VBA) Makro ausgeführt werden, das für die Bereitstellung der Malware-Payload verantwortlich war.
Das VBA-Makro installierte laut den Forschern eine ausführbare Datei, die Persistenz auf dem System etablieren, Kontakt zu einem Command-and-Control-Server aufnehmen und Systeminformationen sammeln konnte. Dream beschreibt die Köder-Inhalte als „Kennzeichen einer gut geplanten Spionageoperation, die bewusst die Zuordnung verschleierte“.
Verbindungen zu früheren iranischen Operationen
Die Cybersicherheitsfirma ClearSky, die Ende August ebenfalls Aspekte der Kampagne dokumentierte, bestätigte, dass die Phishing-E-Mails an mehrere Außenministerien gesendet wurden. Das Unternehmen stellte Verbindungen zu früheren iranischen Operationen her: „Ähnliche Verschleierungstechniken wurden 2023 von iranischen Bedrohungsakteuren verwendet, als sie Mojahedin-e-Khalq in Albanien ins Visier nahmen.“
ClearSky schätzt mit „moderater Zuversicht“ ein, dass diese Aktivität mit denselben iranischen Bedrohungsakteuren verbunden ist. Die Ähnlichkeiten in den Techniken und Zielen deuten laut den Forschern auf eine kontinuierliche Kampagne iranischer Cyberspione gegen diplomatische und oppositionelle Ziele hin.