Sicherheitsforscher beobachten eine aktuelle Kampagne der iranischen, staatlich gesteuerten APT-Gruppierung Scarred Manticore. Dies geht aus einem Report des Sicherheitsunternehmens Check Point Research hervor.
Die aktuelle Kampagne dauert seit mindestens einem Jahr an und erreichte ihren bisherigen Höhepunkt Mitte 2023. Bislang waren vorrangig Ziele im Mittleren Osten aus den Bereichen Regierungsorganisationen, Militär und Telekommunikation betroffen.
Scarred Manticore setzt in der Kampagne ein passives Malware Framework namens LIONTAIL ein, das auf Windows-Servern zum Einsatz kommt. Eine Besonderheit des Frameworks liegt in der Ausnutzung bislang undokumentierter Funktionalitäten des Treibers HTTP.sys, um Payloads aus eingehendem HTTP-Verkehr zu extrahieren. Die Malware wird auf den betroffenen Systemen unter C:\windows\system32 als wlanapi.dll oder wlbsctrl.dll installiert. Diese beiden DLLs sind standardmäßig nicht auf Windows-Server-Betriebssystemen vorhanden. Die beiden DLLs werden direkt durch aktive Prozesse wie Explorer.exe geladen, oder die Angreifer aktivieren spezielle Dienste, die standardmäßig deaktiviert sind.
Die beschriebene Vorgehensweise verdeutlicht die technischen Fähigkeiten, über welche die iranischen Akteure verfügen. Auch wenn bislang keine Betroffenheit deutscher Institutionen festgestellt wurde, so ist insbesondere vor dem Hintergrund des aktuellen Nahost-Konfliktes eine Sensibilität hinsichtlich iranischer Aktivitäten ratsam.
In einem detaillierten technischen Bericht stellt Check Point Research entsprechende IoCs zur Verfügung, mit welchen Administratoren Ihre Systeme überprüfen können.