Cybersecurity-Forscher haben eine gezielte Kampagne identifiziert, die die Empörung und Suche nach Informationen über die Proteste im Iran nutzt, um Malware zu verbreiten. Die Firma Acoris beschrieb diese Operation unter dem Namen CRESCENTHARVEST und erkannte sie vom 9. Januar; nach ihrer Analyse, die Angreifer beabsichtigt, ein Remote-Access-Trojan-Pferd (RAT) zu installieren und eine Komponente, die dem Diebstahl von Informationen mit Fähigkeiten zur Ausführung von Remote-Befehlen gewidmet ist, pulsationen aufzeichnen und sensible Daten extrahieren.
Der von den Betreibern verwendete Decoy soll Farsi-Lautsprecher überzeugen: Eine RAR-Datei ist verpackt, die Fotos und Videos der Demonstrationen enthalten scheint, begleitet von einem persischen Bericht, der angeblich Updates von "Rebelstädten" anbietet. Diese Datei enthält direkten Zugriff auf Windows mit doppelter Erweiterung - zum Beispiel "imagen.jpg.lnk" oder "video.mp4.lnk" - ein klassischer Trick für das System zu zeigen, was scheint eine Multimedia-Datei, aber tatsächlich läuft Code. Wenn Sie eine dieser Verknüpfungen öffnen, führen Sie ein PowerShell-Skript aus, das eine zweite komprimierte Datei herunterlädt und, um keinen Verdacht zu erheben, gleichzeitig ein legitimes Bild oder Video als Deko öffnet.
Die sekundäre ZIP enthält eine störende Kombination: eine Google-signierte binäre, die Teil der Chrome Reinigung Dienstprogramm und mehrere DLL-Bücher. Unter Ausnutzung der Windows-Buchladen-Suche-Mechanismus, Angreifer verursachen die legitime ausführbar, um schädliche DLL, eine Technik bekannt als "DLL Sideloading". Eine dieser Buchhandlungen fungiert als C + +-Komponente, die Verschlüsselungsschlüssel für Chrome-Anwendungen zieht, während eine andere - von Forschern als die CRESCENTHARVEST-Implementierung identifiziert - die Spionage- und Fernbedienungsfunktionen implementiert.
Die beobachteten Fähigkeiten dieses Implantats umfassen die Auflistung von Sicherheitslösungen installiert, die Liste der lokalen Konten, das Laden von zusätzlichen Modulen, die System-Metadatenerfassung, die Browser-Berechtigungsextraktion, die Exfiltration von Telegram-Sitzungsdaten in seiner Desktop-Version und einen Keylogger. Um mit Ihren Befehls- und Steuerservern zu kommunizieren, verwendet CRESCENTHARVEST die WinHTTP-API von Windows und verweist auf eine Domain, die gemäß Acronis dazu dient, Ihren Traffic mit einer legitimen Kommunikation zu vermischen.
Das Muster des Angriffs ist nicht neu, sondern effektiv: die aktuellen Ereignisse zu nutzen, um Opfer zu gewinnen, irreführenden direkten Zugriff als anfänglichen Vektor zu verwenden und legitime Binäre zu missbrauchen, die unterzeichnet wurden, um Sicherheitskontrollen zu vermeiden. Acronis weist darauf hin, dass, obwohl sie die Operation nicht schlüssig zugeschrieben haben, die Kampagne mit historischen Taktiken von Gruppen zusammenfällt, die mit dem Iran fluchten, die auf langfristige soziale Engineering und falsche Identitäten zurückgegriffen haben, um Vertrauen in Ziele zu gewinnen - eine Praxis, die von Agenturen und Cybersicherheitszentren als Teil der Aktivität von anhaltenden Bedrohungen dokumentiert wurde. Um die Verwendung dieser Art von Manöver zu kontextualisieren, steht der Leitfaden der kanadischen Cybersicherheitsagentur für gerichtete und schnelle Handhabungskampagnen zur Verfügung. ausgestellt von der Regierung von Kanada.
Diese Erkenntnis kommt kurz nach anderen Analysen, die auch die Versuche dokumentierten, Aktivisten, Journalisten und Nichtregierungsorganisationen im Zusammenhang mit der Meldung von Missbrauch im Iran zu engagieren. Externe Sicherheitsunternehmen haben Kampagnen mit ähnlichen Zielen und Methoden gemeldet, die darauf hindeuten, dass soziale und journalistische Bewegungen um einen realen Konflikt zu fruchtbaren Boden für gezielte Cyber-Empfangsoperationen werden.
Aus technischer Sicht verwendet die Kampagne bekannte, aber gefährliche Vektoren in ihrer Kombination: die Verwendung von direkten Zugriff (LNK), um den Benutzer zu täuschen; die stille Entladung von zusätzlichen Geräten von PowerShell; die Verwendung einer binären, von einem legitimen Lieferanten unterzeichnet, um böswillige Buchhandlungen zu laden; und schließlich eine Komponente, die Anmeldeinformationen und Daten von gemeinsamen Anwendungen zieht. Microsoft bietet Dokumentation darüber, wie Windows die Last der dynamischen Buchhandlungen löst und warum Sideloading in diesen Szenarien, nützliche Informationen für IT-Manager und Sicherheitsausrüstung ausgenutzt werden kann in der offiziellen Microsoft-Dokumentation.
Für Menschen und Kollektive, die Ereignisse im Iran abdecken oder verfolgen, ist das Risiko doppelt: Zum einen ist die Motivation, schnell Materialien zu öffnen, die als relevant erscheinen, hoch; zum anderen können scheinbar unschuldige Dateien Werkzeuge der Persistenz und Exfiltration verbergen. Legitimierte Browser-Tools, wie die Chrome-Reinigung Dienstprogramm, deren Unterschrift in dieser Kampagne verwendet wurde, können in den bösartigen Code-Ladeprozess verwendet werden; Google erklärt die Funktion dieser Komponente auf seiner Support-Seite über Chrome Reinigungswerkzeug.
Was können die, die sich als gefährdet betrachten, tun? Neben der Aufrechterhaltung aktueller Systeme und Software ist es angebracht, komprimierte Dateien oder Links zweifelhafter Herkunft zu vermeiden, Misstrauen Shortcuts, die Doppelerweiterung zeigen und nicht die Ausführung von Skripten ermöglichen, ohne den Ursprung zu überprüfen. Auf organisatorischer Ebene, Überwachung des ausgehenden Verkehrs, Überwachung der Ausführung von unbekannten Binaries und Anwendung von Richtlinien, die die Last von DLL von unzuverlässigen Standorten begrenzen helfen, die Angriffsfläche zu reduzieren. Für praktische Empfehlungen zur Erkennung und Minderung von Phishing- und Speed-Phishing-Kampagnen, Infrastruktur und Cybersicherheitsagentur der USA. (CISA / US-CERT) hält nützliche und zugängliche Materialien.
Der Auftritt von CRESCENTHARVEST spiegelt ein beunruhigendes Muster wider: Wenn es Konflikte und soziale Bewegungen gibt, sind die Akteure bereit, Aufmerksamkeit und Solidarität zugunsten von Spionageoperationen zu nutzen. Die Aufrechterhaltung des Schutzes, die Überprüfung von Quellen und die Annahme digitaler Hygienepraktiken ist nicht nur eine technische Empfehlung, sondern eine persönliche und kollektive Sicherheitsmaßnahme für diejenigen, die an der Berichterstattung dieser Ereignisse berichten, dokumentieren oder teilnehmen.
Um die ausführliche technische Analyse dieser Kampagne zu lesen, veröffentlichte Acronis einen Bericht, der den Fluss der Infektion beschreibt und die beobachteten Proben über seine Bedrohungsforschung Ein Blog.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...