Watering‑Hole‑Angriffe im Nahen Osten

ESET-Forscher haben strategische Webseiteninfektionen von hochkarätigen Webseiten von Medien, Regierungen und Rüstungsunternehmen im Nahen Osten entdeckt. Die so ausgeführten Watering-Hole-Attacken richteten sich gegen die Webseitenbesucher.

ESET-Forscher haben strategische Webseiteninfektionen von hochkarätigen Webseiten von Medien, Regierungen und Rüstungsunternehmen im Nahen Osten entdeckt. Die so ausgeführten Watering-Hole-Attacken richteten sich gegen die Webseitenbesucher.

Bereits im Jahr 2018 haben ESET-Forscher ein eigenes System entwickelt, um sogenannte Watering-Hole-Angriffe (auch bekannt als strategische Kompromittierung von Webseiten) aufzudecken. Am 11. Juli 2020 meldete uns das System, dass die Website der iranischen Botschaft in Abu Dhabi geändert worden war und damit begonnen hatte, JavaScript-Code von https://piwiks[.]com/reconnect.js auf den Rechnern der Webseitenbesucher einzuschleusen, wie in Abbildung 1 gezeigt.

Abbildung 1. Skriptinjektion auf der Website der iranischen Botschaft in Abu Dhabi

Das Angriffsziel weckte unsere Neugier und in den folgenden Wochen erkannten wir, dass weitere Webseiten mit Verbindungen zum Nahen Osten ebenfalls auf diese Weise zum Ziel geworden waren. Wir konnten den Start der Kampagne auf März 2020 datieren, als die Domain piwiks[.]com neu registriert wurde. Wir nehmen an, dass die strategischen Kompromittierungen der Webseiten erst im April 2020 begannen. Zu diesem Zeitpunkt, hatte die Website des Middle East Eye (middleeasteye.net), eine in London ansässige, digitale Nachrichtenseite für den Nahen Osten, damit begann Code von der piwiks[.]com-Domain einzuschleusen.

Schließlich wurden Ende Juli oder Anfang August 2020 alle verbliebenen kompromittierten Webseiten bereinigt. Es ist wahrscheinlich, dass die Angreifer selbst die schädlichen Skripte von den kompromittierten Websites entfernt haben. Danach ließen die Bedrohungsakteure nichts mehr von sich hören, bis wir im Januar 2021 eine neue Welle von Angriffen beobachteten. Diese zweite Welle dauerte bis zum August 2021 an, als alle Webseiten wieder bereinigt wurden. Einige Indikatoren der zweiten Welle wurden von einem Forscherkollegen auf Twitter geteilt, wodurch wir eine Verbindung zu dem herzustellen konnten, was Kaspersky als Karkadann beobachtet.

Wir beschreiben die detaillierten Abläufe der Angriffe weiter unten im Abschnitt Technische Analyse, aber es ist erwähnenswert, dass die eigentlichen Ziele der Angriffe bestimmte Besucher dieser Websites sind, die wahrscheinlich einen Browser-Exploit untergeschoben bekommen. Die kompromittierten Webseiten sind nur Mittel zum Zweck, um an die eigentlichen Ziele heranzukommen.

Bei der Analyse der Angriffe haben wir auch interessante Verbindungen zu Candiru entdeckt, die wir im Abschnitt Dokumenten-Spearphishing und Links zu Candiru beschreiben. Candiru ist eine privatwirtschaftliche, israelische Spyware-Firma, die kürzlich in die sogenannte Entity List (Organisationen, die Handelsbeschränkungen in den USA unterliegen) des US-Handelsministeriums aufgenommen wurde. Dies soll us-amerikanische Unternehmen daran hindern, ohne eine Lizenz des Handelsministeriums mit Candiru Geschäfte zu tätigen.

Zum Zeitpunkt der Niederschrift dieses Artikels, scheinen die Hintermänner der Kampagne eine Pause zu machen. Vermutlich um umzurüsten und ihre Kampagne unsichtbarer zu machen. Wir erwarten, sie in den nächsten Monaten wieder aktiv werden.

Zielauswahl

Unser Tracking zeigt, dass sich die Hintermänner der Kampagne vor allem für den Nahen Osten interessieren, der besondere Schwerpunkt liegt auf dem Jemen. Tabelle 1 zeigt die bekannten Ziele der Jahre 2020 und 2021.

Tabelle 1. Domänen, die während der ersten Welle kompromittiert wurden

Kompromittierte WebseiteC&CVonBisDetails
middleeasteye.netpiwiks[.]comApril 4, 2020April 6, 2020Eine in Großbrittanien beheimatete Online-Zeitung für den Nahen Osten
piaggioaerospace.itpiwiks[.]comJuly 8, 2020November 5, 2020Ein italienisches Luftfahrtunternehmen
medica-tradefair[.]corebrandly[.]siteJuly 9, 2020October 13, 2020Eine gefälschte Webseite, die sich als Webseite der deutschen Medizin-Messe Medica in Düsseldorf ausgab.
mfa.gov.irpiwiks[.]comJuly 11, 2020July 13, 2020das Außenministerium des Iran
almanar.com.lbrebrandly[.]siteJuly 24, 2020July 30, 2020Fernsehsender mit Verbindung zur Hisbollah
smc.gov.yevisitortrack[.]netJanuary 18, 2021April 14, 2021Innenminiesterium des Jemen
hotjar[.]netApril 21, 2021July 30, 2021
almasirahnews.comvisitortrack[.]netJanuary 25, 2021March 25, 2021Jemenitischer Fernsehsender mit Verbindungen zur Ansar-Allah-Bewegung (Huthis)
hotjar[.]netApril 21, 2021July 17, 2021
casi.gov.syhotjar[.]netFebruary 1, 2021UnknownZentrale Behörde Authority für Supervision and Inspection of Syria.
moe.gov.syhotjar[.]netFebruary 1, 2021UnknownSyrisches Energieministerium
almanar.com.lbwebfx[.]bzFebruary 3, 2021February 23, 2021Fernsehsender mit Verbindung zur Hisbollah
webffx[.]bzMarch 12, 2021March 24, 2021
webffx[.]bzMarch 24, 2021March 25, 2021
manartv.com.lbwebfx[.]bzFebruary 3, 2021March 22, 2021Fernsehsender mit Verbindung zur Hisbollah
mof.gov.yehotjar[.]netFebruary 11, 2021July 14, 2021Finanzministerium des Jemen
scs-net.orghotjar[.]netMarch 7, 2021UnknownInternet Service Provider in Syrien.
customs.gov.yelivesesion[.]bidMarch 24, 2021June 16, 2021Zollbehörde des Jemen
denel.co.zasite-improve[.]netMarch 31, 2021July 22, 2021Luftfahrt und Militärtechnik-Konglomerat in Besitz des Südafrikanischen Staats
pmp.co.zaMarch 31, 2021Unknown
deneldynamics.co.zaApril 3, 2021July 27, 2021
denellandsystems.co.zaApril 4, 2021July 23, 2021
denelaviation.co.zaApril 7, 2021July 19, 2021
yemen.net.yehotjar[.]netApril 15, 2021August 4, 2021Internet Service Provider in Syrien.
yemenparliament.gov.yehotjar[.]netApril 20, 2021July 5, 2021Parlament des Jemen
yemenvision.gov.yehotjar[.]netApril 21, 2021June 13, 2021Webseite der jementischen Regierung
mmy.yehotjar[.]netMay 4, 2021August 19, 2021Jemenitisches Medienportal mit Verbindung zu den Huthis
thesaudireality.combootstrapcdn[.]netJune 16, 2021July 23, 2021Wahrscheinlich eine Webseite saudischer Dissidenten
saba.yeaddthis[.]eventsJune 18, 2021UnknownJemenitische Nachrichtenagentur mit Verbindung zu den Huthis. Wurde vermutlich Ende Juni 2021 vom Southern Tranistional Council übernommen.

Die Domain medica-tradefair[.]co ist der Ausreißer in dieser Liste, denn sie wurde nicht kompromittiert, sondern von den Angreifern selbst betrieben. Sie wurde auf ServerAstra gehostet, ebenso wie alle anderen C&C-Server, die im Jahr 2020 genutzt wurden. Die Domain imitiert die echte Website medica-tradefair.com, die Website der jährlich stattfindenden MEDICA-Messe in Düsseldorf. Die Betreiber haben einfach die ursprüngliche Website geklont und ein kleines Stück JavaScript-Code hinzugefügt.

Wie in Abbildung 2 zu sehen ist, scheint der Seiteninhalt nicht geändert worden zu sein. Es ist wahrscheinlich, dass Angreifer die echte Website nicht kompromittieren konnten und eine gefälschte Website einrichten mussten, um ihren Schadcode bei den eigentlichen Zielen einzuschleusen.

Abbildung 2. Geklonte Version der Webseite der Medica-Messe

Es ist interessant festzustellen, dass die bösartigen Domänen echte Webanalysen, URL-Shortener oder Content Delivery Network-Domains und URLs nachahmen. Dies ist ein Merkmal dieses Bedrohungsakteurs.

Technische Analyse der strategischen Web-Kompromittierungen

Die erste Welle in 2020

Erste Stufe – Injiziertes Skript

Alle kompromittierten Websites injizierten den Besuchern JavaScript-Code, der von den von den Angreifern kontrollierten Domänen piwiks[.]com und rebrandly[.]site stammt. Im ersten bekannten Fall, erfolgt die Einschleusung von Schadcode wie in Abbildung 3 dargestellt.

Abbildung 3. Skript-Injektion auf der Website der iranischen Botschaft in Abu Dhabi

Abbildung 3. Skript-Injektion auf der Website der iranischen Botschaft in Abu Dhabi

Diese Injektion lädt ein Remote-JavaScript namens reconnects.js und eine legitime Drittanbieterbibliothek namens GeoJS, für die IP-Geolocation-Suche.

Bei Injektionen von rebrandly[.]site werden zusätzliche Skripte mithilfe von HTML-script-Tags geladen, wie in Abbildung 4 zu sehen ist.

Abbildung 4. Das in die medica-tradefair[.]co-Website injizierte Skript

Zweite Stufe – Fingerprinting-Skript

reconnects.js und recon-api.js sind fast identische Skripte; nur die Reihenfolge einiger Zeilen oder Funktionen sind geändert. Wie in Abbildung 5 gezeigt, haben die Malware-Autoren versucht, keinen Verdacht zu erregen, indem sie ihrem Skript eine Kopie des jQuery Browser Plugin-Headers voranstellten. Sie hofften wahrscheinlich, dass Malware-Analysten nicht weiter scrollen würden.

Abbildung 5. Anfang des Fingerprinting-Skripts, das in der ersten Welle verwendet wurde

Als erstes implementiert das Skript eine Funktion namens geoip. Es wird automatisch von der zuvor geladenen GeoJS-Bibliothek aufgerufen, wie auf der offiziellen GeoJS-Website erwähnt. Die Variable json enthält die IP-Geolocation-Informationen. Das Skript sendet diese JSON über eine HTTP-POST-Anfrage an den C&C-Server unter der URL https://rebrandly[.]site/reconnect-api.php. Wenn der Server einen HTTP 200-Statuscode zurückgibt, fährt das Skript mit einer Funktion namens main fort.

Zunächst sammelt main mithilfe der in Abbildung 6 gezeigten benutzerdefinierten Funktionen Informationen wie die Betriebssystemversion und die Browserversion. Sie parst einfach den Browser-User-Agent, um Informationen zu extrahieren.

Abbildung 6. Funktionen zur Ermittlung des Betriebssystems und für das Browser-Fingerprinting

Wie in Abbildung 7 gezeigt, prüft die Funktion dann, ob das Betriebssystem entweder Windows oder macOS ist und fährt nur dann fort. Dies deutet darauf hin, dass dieser Vorgang Computer und nicht mobile Geräte wie Smartphones kompromittieren soll. Es sucht auch nach einer Liste gängiger Webbrowser: Chrome, Firefox, Opera, IE, Safari und Edge.

Abbildung 7. Die mainFunktion des Fingerprinting-Skripts, das in der ersten Welle verwendet wurde

Das Skript verschlüsselt auch einen hartcodierten Wert, 1122, obwohl wir nicht wissen, zu welchem ​​​​Zweck. Obwohl die Funktion decrypt heißt, verschlüsselt sie tatsächlich mit RSA und der Bibliothek JSEncrypt. Der 1024-Bit-RSA-Schlüssel ist hartcodiert und festgelegt auf:

—–BEGIN PUBLIC KEY—–
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDhIxVX6QGlxe1mrkPCgBtz8bWH
nzmek4He5caAE2sH2TFnXN1VdqpxMaJSi+dj9sbqHu0tSYd+5tU20514jlEOX6/D
yFFPCoOvx5TzAm+AkSmevUuMsfZTifK+wQRxRhiuMk2UbnVCVQS0CJDoPTl8Blsp
1oCEF2Kz7uIb0pea3QIDAQAB
—–END PUBLIC KEY—–

Dann sendet das Skript eine HTTPS-GET-Anfrage an den C&C-Server rebrandly[.]site. Der id-Parameter enthält die Fingerabdruckdaten und der letzte Parameterwert enthält das von der GeoJS-Bibliothek bereitgestellte Land.

Wenn der Server eine Antwort zurückgibt, wird diese mit AES aus der CryptoJS-Bibliothek und einem hartcodierten Schlüssel flcwsfjWCWEcoweijwf@#$@#$@#499299234@#$!@2 entschlüsselt. Dieser Schlüssel blieb derselbe, auch nachdem wir einige Anfragen ausprobiert hatten.

Der entschlüsselte Wert ist angeblich eine URL und ein neuer iframe, der auf diese URL zeigt, wird erstellt. Wir konnten keine gültige Antwort erhalten, aber wir glauben, dass dies zu einem Exploit zur Ausführung von Browser-Remote-Code führt, der es einem Angreifer ermöglicht, die Kontrolle über einen Computer zu übernehmen.

Die zweite Welle in 2021

Im Januar 2021 begann eine neue Angriffswelle. Die Angreifer erstellten dafür eine völlig neue Netzwerkinfrastruktur und veränderten ihren gesamten JavaScript-Code.

Erste Stufe – Injiziertes Skript

Für die zweite Welle hatten die Angreifer ihre Skripte auf den Webseiten weiter modifiziert, um das Risiko der Entdeckung zu reduzieren. Anstatt der HTML-Hauptseite Code hinzuzufügen, haben sie, wie in Abbildung 8 gezeigt, Bibliotheken wie wp-embed.min.js modifiziert,. Sie fügten dazu einfach ein paar Zeilen am Ende von https://www.smc.gov.ye/wp-includes/js/wp-embed.min.js hinzu, um ein Skript von einem Server zu laden, den sie kontrollieren: https://visitortrack[.]net/sliders.js.

Abbildung 8. Injiziertes Skript, das in der zweiten Welle verwendet wird

Eine andere Strategie zur Begrenzung ihrer Sichtbarkeit bestand darin, ein Cookie zu erstellen, wenn der Besucher das bösartige Skript zum ersten Mal ausführt, wie in Abbildung 9 gezeigt. Da das Skript nur unter bestimmten Bedingungen injiziert wird, je nachdem, ob das Cookie bereits vorhanden ist, werden weitere Injektionen verhindert. Dieser spezifische Code wurde auf der Website einer  syrischen Behörde (casi.gov.sy) gefunden.

Abbildung 9. Cookie-Erstellung, um weitere Anfragen zu vermeiden

Die zweite Stufe

Von Januar bis März 2020 verwendeten die Betreiber für das Skript der zweiten Stufe ein Skript, das auf der minAjax-Bibliothek basiert. Dies ist per se kein Fingerprinting-Skript, da es keine Informationen über den Browser oder das Betriebssystem an den C&C-Server sendet – ein Beispiel ist in Abbildung 10 gezeigt. Es ist zu beachten, dass sehr ähnliche Skripte von der LNKR-Adware verwendet werden , so dass eine Erkennung in diesem Fall zu einer hohen Anzahl falsch positiver Ergebnisse führen kann.

Abbildung 10. Skript der zweiten Stufe der zweiten Welle

Dieses Skript enthält den aktuellen Zeitstempel t0, einen Ablaufzeitstempel ex und zwei Hashes juh und cs, deren Bedeutung wir derzeit nicht kennen. Diese Werte werden an den C&C-Server https://webfex[.]bz/f/gstats gesendet. Wenn die Antwort ein JSON-Objekt ist und den Schlüssel fw enthält, gibt das Skript mithilfe von parent.top.window.location.href eine Umleitung zu der in fw enthaltenen URL aus. Wie bei der ersten Welle konnten wir keine gültige Weiterleitung erhalten.

Im April 2020 wurde dieses Skript in FingerprintJS Pro geändert. Dies ist ein kommerzielles Produkt, deren Entwickler eine offizielle Website haben, wie in Abbildung 11 dargestellt ist.

Abbildung 11. Homepage von FingerprintJS

Im Vergleich zum 2020 verwendeten Fingerprinting-Skript ist dies weitaus komplexer, da es die Standardsprache, die Liste der vom Browser unterstützten Schriftarten, die Zeitzone, die Liste der Browser-Plugins, die lokalen IP-Adressen über RTCPeerConnection, usw. abruft. Die Netzwerkkommunikation mit dem C&C-Server wird mit einem AES-Sitzungsschlüssel verschlüsselt. Wie in Abbildung 12 gezeigt, kann der Server JavaScript-Code zurückgeben, der im Kontext der aktuellen Webseite ausgeführt wird.

FAbbildung 12. FingerprintJS Pro fügt der aktuellen Seite JavaScript-Code hinzu

Wie in den vorherigen Fällen haben wir nie eine gültige Weiterleitung erhalten. Wir gehen immer noch davon aus, dass diese zu einem Browser-Exploit führt. Dies zeigt, dass diese Kampagne sehr zielgerichtet ist.

Spearphishing-Dokumente und Links zu Candiru

Zusammenhang mit der Citizen Lab-Publikation

Im Blogpost von Citizen Lab zu Candiru gibt es einen Abschnitt namens A Saudi-Linked Cluster?. Darin wird ein Spearphishing-Dokument erwähnt, das auf VirusTotal hochgeladen wurde.

Der von diesem Dokument verwendete C&C-Server ist https://cuturl[.]space/lty7uw und VirusTotal hat eine Umleitung von dieser URL zu https://useproof[.]cc/1tUAE7A2Jn8WMmq/api erfasst. Die Domain useproof[.]cc löste auf 109.70.236[.]107 auf und laut Citizen Lab entsprach dieser Server ihrem sogenannten CF3-Fingerabdruck für die Candiru C&C-Server. Diese Domain wurde wie die meisten Candiru-eigenen Domains über Porkbun registriert.

Zwei Domains, die auf dieselbe IP-Adresse auflösen, haben unsere Aufmerksamkeit erregt:

  • webfx[.]cc
  • engagebay[.]cc

Dieselben Second-Level-Domains mit einer anderen TLD wurden in der zweiten Welle strategischer Webseiteninfektionen verwendet. Diese beiden Domains in der .cc TLD werden höchstwahrscheinlich auch von Candiru betrieben.

Der Citizen Lab-Bericht erwähnt einige ähnliche Domänen wie cuturl[.]space, die wir in Tabelle 2 detailliert beschreiben.

Tabelle 2. Ähnliche Domänen wie cuturl[.]space

DomainRegistrarIPHosting Provider
llink[.]linkNjalla83.171.237[.]48Droptop
instagrarn[.]coTLD Registrar Solutions83.97.20[.]89M247
cuturl[.]appTLD Registrar Solutions83.97.20[.]89M247
url-tiny[.]coTLD Registrar Solutions83.97.20[.]89M247
bitly[.]telNjalla188.93.233[.]149Dotsi

Diese Domainnamen ahmen URL-Shortener und die Instagram-Webseite nach und wurden über Njalla und TLD Registrar Solutions Ltd. registriert .

Wir konnte auch unabhängig davon bestätigen, dass die Server, auf die diese Domänen aufgelöst wurden, auf ähnliche Weise konfiguriert waren.

Wir glauben daher, dass diese Gruppe von Websites von denselben Bedrohungsakteuren kontrolliert werden, die die Dokumente erstellt haben. Umgekehrt wird die Domain useproof[.]cc höchstwahrscheinlich intern von Candiru betrieben und dient der Auslieferung von Exploits.

Verbindungen zwischen Watering Holes, Spearphishing-Dokumenten und Candiru

Tabelle 3 fasst die Merkmale der Watering Holes, die von Citizen Lab gefundenen Dokumente und von Candiru zusammen.

Tabelle 3. Zusammenfassung der Verbindungen zwischen den drei Clustern (Watering Holes, von Citizen Lab gefundenen Dokumente und Candiru)

 Watering holesCluster of documentsCandiru
RegistrarsMainly NjallaNjalla and TLD Registrar SolutionsPorkbun
Hosting providersServerAstra, Droptop, Neterra, Net Solutions, The Infrastructure Group, Sia Nano and FlokiNETDroptop, M247 and DotsiM247, QuadraNet, etc.
Domain themesAnalytics and URL shortener servicesURL shortener servicesAnalytics, URL shortener services, media outlets, tech companies, government contractors, etc.
VictimologyMiddle EastMiddle EastMiddle East, Armenia, Albania, Russia, Uzbekistan, etc.
Targeted platformsWindows and macOSWindowsWindows and macOS
TTPsStrategic web compromisesMalicious documents with Document_Open macrosMalicious documents and fake shortened URLs redirecting to exploits and the DevilsTongue implant.

Interessant ist, dass die Watering Holes nur für eine rechte kleine Opfergruppe eingesetzt werden. Wir haben auch festgestellt, dass Domains, von denen bekannt ist, dass sie von Candiru betrieben werden (webfx[.]cc), den Domains, die für die Watering Holes (webfx[.]bz) verwendet werden, sehr ähnlich sind. Sie wurden jedoch nicht auf die gleiche Weise registriert und ihre Server sind sehr unterschiedlich konfiguriert.

Im Juli 2021 veröffentlichte Google einen Blogpost mit Details zu den von Candiru verwendeten Exploits. Er erwähnt CVE 2021-21166 und CVE-2021-30551 für Chrome und CVE-2021-33742 für Internet Explorer. Es handelt sich um vollständige Remotecode_Ausführungs-Exploits, die es einem Angreifer ermöglichen, die Kontrolle über einen Computer zu übernehmen, indem er das Opfer dazu bringt, eine bestimmte URL zu besuchen, die dann den Exploit liefert. Dies zeigt, dass Candiru in der Lage ist, Browser für einen Watering-Hole-Angriff auszunutzen.

Wir glauben daher, dass sich die Watering Holes ähnlich wie die Dokumente verhalten. Der erste C&C-Server, der in die kompromittierten Websites eingefügt wurde, würde auf einen anderen C&C-Server umleiten, der einer Spyware-Firma wie Candiru gehört und einen Browser-Exploit ausliefert.

Anhand dieser Informationen nehmen wir an:

  • dass die Ersteller der Dokumente und die Betreiber der Watering Holes mit geringer Konfidenz die gleichen sind.
  • dass die Betreiber der Watering Holes mit mittlerer Konfidenz Kunden von Candiru sind.

Fazit

Dieser Artikel beschreibt zwei Kampagnen zur strategischen Webseiteninfektion, die auf hochkarätige Organisationen im Nahen Osten abzielen und einen starken Fokus auf den Jemen haben. Wir haben auch Verbindungen zu Candiru gefunden, einer Spyware-Firma, die hochmoderne offensive Softwaretools und damit verbundene Dienstleistungen an Regierungsbehörden verkauft.

Wir waren nicht in der Lage, einen Exploit und die endgültig ausgelieferte Malware zu erhalten. Dies zeigt, dass die Betreiber den Fokus ihrer Operationen einzuschränken und ihre Zero-Day-Exploits nicht verbrennen wollen.

Seit Ende Juli 2021, kurz nach der Veröffentlichung von Blogposts von Citizen Lab, Google und Microsoft, in denen die Aktivitäten von Candiru beschrieben wurden, sahen wir bei diesen Operationen keine Aktivitäten mehr.

Eine umfassende Liste von Indicators of Compromise (IoCs) und Beispielen finden Sie in unserem GitHub-Repository.

Bei Fragen oder um Sample-Einreichungen zu diesem Thema kontaktieren Sie uns unter threatintel@eset.com.

Indicators of Compromise

Legitimate, historically compromised websites

Compromised websiteFromTo (treat as a lower bound)
middleeasteye.net2020-04-042020-04-06
piaggioaerospace.it2020-07-082020-11-05
mfa.gov.ir2020-07-112020-07-13
almanar.com.lb2020-07-242020-07-30
smc.gov.ye2021-01-18
2021-04-21
2021-04-14
2021-07-30
almasirahnews.com2021-01-25
2021-04-21
2021-03-25
2021-07-17
casi.gov.sy2021-02-01Unknown
moe.gov.sy2021-02-01Unknown
almanar.com.lb2021-02-03
2021-03-12
2021-02-23
2021-03-25
manartv.com.lb2021-02-032021-03-22
mof.gov.ye2021-02-112021-07-14
scs-net.org2021-03-07Unknown
customs.gov.ye2021-03-242021-06-16
denel.co.za2021-03-312021-07-22
pmp.co.za2021-03-31Unknown
deneldynamics.co.za2021-04-032021-07-27
denellandsystems.co.za2021-04-042021-07-23
denelaviation.co.za2021-04-072021-07-19
yemen.net.ye2021-04-152021-08-04
yemenparliament.gov.ye2021-04-202021-07-05
yemenvision.gov.ye2021-04-212021-06-13
mmy.ye2021-05-042021-08-19
thesaudireality.com2021-06-162021-07-23
saba.ye2021-06-18Unknown

C&C servers

DomainIPFirst seenLast seenDetails
piwiks[.]com91.219.236[.]382020-03-312020-07-29Watering hole C&C server.
rebrandly[.]site91.219.239[.]191
91.219.236[.]38
2020-03-20
2020-07-13
2020-07-10
2020-09-29
Watering hole C&C server.
medica-tradefair[.]co91.219.236.502021-06-282021-10-20Fake website impersonating a German medical conference.
bitly[.]bz91.219.239[.]1912020-03-192020-03-19Unknown.
tinyurl[.]ist91.219.239[.]1912020-03-192020-04-16Unknown.
tinyurl[.]bz91.219.239[.]1912020-03-202020-04-16Unknown.
bit-ly[.]site91.219.239[.]1912020-03-252020-04-16Unknown.
bitly[.]tw91.219.239[.]1912020-03-262020-04-16Unknown.
bitly[.]zone91.219.239[.]1912020-03-262020-04-16Unknown.
shortlinkcut[.]link91.219.239[.]1912020-03-262020-04-16Unknown.
tinyurl[.]one91.219.239[.]1912020-03-262020-04-16Unknown.
tinyurl[.]photos91.219.239[.]1912020-03-262020-04-16Unknown.
tinyurl[.]plus91.219.239[.]1912020-03-262020-04-16Unknown.
site-improve[.]net185.165.171[.]1052021-01-062021-07-21Watering hole C&C server.
clickcease[.]app83.171.236[.]1472021-01-062021-07-28Unknown.
visitortrack[.]net87.121.52[.]2522021-01-062021-10-06Watering hole C&C server.
webfx[.]bz94.140.114[.]2472021-01-062021-03-24Watering hole C&C server.
livesession[.]bid5.206.224[.]1972021-01-062021-07-25Unknown.
engagebay[.]app185.82.126[.]1042021-01-072021-05-19Unknown.
hotjar[.]net5.206.224[.]2262021-01-072021-08-02Watering hole C&C server.
webffx[.]bz83.171.236[.]32021-02-212021-03-27Watering hole C&C server.
engagebaay[.]app5.206.227[.]932021-03-072021-07-27Unknown.
livesesion[.]bid87.120.37[.]2372021-03-172021-07-28Watering hole C&C server.
sitei-mprove[.]net87.121.52[.]92021-03-172021-07-27Unknown.
webfex[.]bz45.77.192[.]332021-02-26N/AWatering hole C&C server.
bootstrapcdn[.]net188.93.233[.]1622021-04-282021-07-28Watering hole C&C server.
addthis[.]events83.171.236[.]2472021-04-292021-07-28Watering hole C&C server.
sherathis[.]com5.206.224[.]542021-06-272021-08-01Unknown.
yektenet[.]com5.2.75[.]2172021-06-272021-07-27Unknown.
static-doubleclick[.]net87.121.52[.]1282021-06-272021-07-27Unknown.
code-afsanalytics[.]com83.171.236[.]2252021-06-272021-07-28Unknown.
fonts-gstatic[.]net83.171.239[.]1722021-06-272021-07-24Unknown.
moatads[.]co87.121.52[.]1442021-06-272021-07-23Unknown.
doubleclick[.]ac5.2.67[.]822021-06-272021-07-18Unknown.
llink[.]link83.171.237[.]482021-01-252021-05-01Unknown.
instagrarn[.]co83.97.20[.]892020-11-022021-01-23Unknown.
cuturl[.]app83.97.20[.]892020-11-022021-01-20Malicious document C&C server.
url-tiny[.]co83.97.20[.]892020-11-022020-11-25Unknown.
bitly[.]tel188.93.233[.]1492021-01-252021-03-11Unknown.
cuturl[.]space83.171.236[.]1662021-01-252021-04-23Malicious document C&C server.
useproof[.]cc109.70.236[.]1072020-11-252021-02-19Candiru exploit delivery server.

Files

SHA-1FilenameC&C URLComment
4F824294BBECA4F4ABEEDE8648695EE1D815AD53N/Ahttps://cuturl[.]app/sot2qqDocument with VBA macro.
96AC97AB3DFE0458B2B8E58136F1AAADA9CCE30Bcopy_02162021q.dochttps://cuturl[.]space/lty7uwDocument with malicious VBA macro.
DA0A10084E6FE57405CA6E326B42CFD7D0255C79seeIP.dochttps://cuturl[.]space/1hm39tDocument with VBA macro.

MITRE ATT&CK techniques

This table was built using version 10 of the MITRE ATT&CK framework.

TacticIDNameDescription
Resource DevelopmentT1583.001Acquire Infrastructure: DomainsThe operators bought domain names from multiple registrars, including Njalla.
T1583.004Acquire Infrastructure: ServerThe operators rented servers from multiple hosting companies. In 2020, they rented servers mainly from ServerAstra.
T1584.004Compromise Infrastructure: ServerThe operators compromised several high-profile websites.
T1588.001Obtain Capabilities: MalwareThe operators probably bought access to Candiru implants.
T1588.005Obtain Capabilities: ExploitsThe operators probably bought access to Candiru exploits.
T1608.004Stage Capabilities: Drive-by TargetThe operators modify more than twenty high-profile websites to add a piece of JavaScript code that loads additional code from their C&C servers.
Initial AccessT1189Drive-by CompromiseVisitors to compromised websites may have received an exploit after their browser was fingerprinted.
T1566.001Phishing: Spearphishing AttachmentThe operators sent spearphishing emails with malicious Word documents.
ExecutionT1059.005Command and Scripting Interpreter: Visual BasicThe Word documents contain a VBA macro running code using the Document_Open function.
Command and ControlT1071.001Application Layer Protocol: Web ProtocolsThe watering hole scripts communicate via HTTPS with the C&C servers.

Newsletter-Anmeldung

Hier können Sie mitdiskutieren