Amerikaanse overheidsinstellingen aangevallen door Iraanse hackers

Abonneer je gratis op Techzine!

Door de Iraanse overheid gesteunde hackers richten zich momenteel op Amerikaanse federale werknemers, met als doel overheidssystemen te infecteren met malware.

Eerder dit jaar was er ook al sprake van Iraanse cyberaanvallen. De nieuwe hackpogingen zijn waarschijnlijk afkomstig van een cyberspionagegroep met de codenaam APT34, oftewel OilRig, een zes jaar oude hackersgroep die handelt in het belang van de Iraanse overheid. De hackpogingen zijn samen te vatten als een slim aangepakte spear-phishing-campagne, wordt beschreven in een vandaag gepubliceerd rapport van cyberbeveiligingsbedrijf Intezer Labs, weet ZDNet te melden.

Westat-onderzoeken

De phishing-e-mails gebruiken een tactiek waarbij de onderzoeken van Westat na worden gebootst. Westat is een bedrijf dat onder contract staat bij Amerikaanse overheidsinstellingen, en beheert al minstens 16 jaar lang enquêtes en voert die uit bij meer dan 80 federale instellingen. Die federale werknemers worden daarbij ondervraagd over arbeidsomstandigheden, management en arbeidstevredenheid.

Intezer stelt dat APT34 valse, op Westat lijkende e-mails heeft verstuurd die kwaadaardige bestanden distrubueren, die lijken op onderzoeken in de vorm van Excel-spreadsheets. De documenten bevatten kwaadaardige code die wordt uitgevoerd als het slachtoffer macro’s in Excel inschakelt. De kwaadaardige code downloadt en installeert twee soorten malware die bekend staan als TONEDEAF en VALUEVAULT.

De ene vorm van malware is een backdoor, terwijl de andere wachtwoorden steelt. Beide malware-strains zijn al eerder gesignaleerd, namelijk bij een andere APT34 spear-phishing campagne die FireEye in juli vorig jaar heeft gedetecteerd. Intezer stelt echter dat de twee nieuwe versies serieuze upgrades bevatten ten opzichte van de vorige versies die afgelopen juli zijn gebruikt. Beide vormen lijken te zijn aangepast voor deze specifieke campagne.