MURKYTOUR Backdoor
През октомври 2024 г. заплаха, свързана с Иран, UNC2428, стартира кампания за кибершпионаж, насочена към израелски лица. Представяйки се за вербовчици от израелския отбранителен изпълнител Rafael, групата използва схема за социално инженерство, свързана с работа, за да примами жертви. След като хората проявиха интерес, те бяха пренасочени към измамен уебсайт, имитиращ Rafael, където бяха подканени да изтеглят инструмент за приложение, наречен „RafaelConnect.exe“.
Съдържание
От интерес към проникване: веригата за доставка на зловреден софтуер
Изтегленият инструмент всъщност беше инсталатор, известен като LONEFLEET. Той включваше графичен потребителски интерфейс (GUI), проектиран да изглежда като легитимен портал за кандидатстване за работа, изискващ лични данни и качване на автобиография. Този на пръв поглед безобиден интерфейс криеше вредни намерения. При подаване на данни, задната врата, наречена MURKYTOUR, беше внедрена тихо във фонов режим чрез програма за стартиране, наречена LEAFPILE, предоставяйки на нападателите постоянен достъп до заразената система. Този подход подчертава стратегическото използване на GUI от участниците в заплахите, за да прикрият изпълнението на зловреден софтуер като доброкачествена дейност.
Повече от един играч: Разрастващият се пейзаж на иранската кибернетична заплаха
UNC2428 е само едно парче от по-широкия пъзел на иранските кибер операции. Кампанията споделя характеристики с дейности, свързани с Черна сянка, образувание, обвинено от Израелската национална кибер дирекция и за което се смята, че действа под ръководството на Министерството на разузнаването и сигурността на Иран (MOIS). Техните цели обхващат множество сектори в Израел, включително:
- Правителство и отбрана
- Здравеопазване и финанси
- Технологии и комуникации
Друг участник, UNC3313, свързан с групата MuddyWater , провежда фишинг кампании от 2022 г. насам и е известен с използването на легитимни инструменти за дистанционно наблюдение, за да поддържа скрит и постоянен достъп. Междувременно UNC1549 премина към облачна инфраструктура, за да се слее по-добре с корпоративните среди и да избегне откриването.
Мозъци на манипулацията: APT42 и отвъд
APT42 , известен също като Очарователно коте, е известен със своите усъвършенствани техники за социално инженерство. Тази група е внедрила фалшиви страници за вход, представящи се за големи платформи като Google, Microsoft и Yahoo! за събиране на пълномощията. Те са използвали платформи като Google Sites и Dropbox, за да насочват жертвите към тези злонамерени страници, засилвайки тяхната измама.
Освен това APT34 (OilRig) е използвал персонализирани задни врати като DODGYLAFFA и SPAREPRIZE при атаки срещу иракски правителствени системи. Общо експертите по киберсигурност са идентифицирали над 20 уникални фамилии зловреден софтуер, разработени или използвани от ирански участници в различни кибер операции в Близкия изток през 2024 г.
Заключение: Постоянна и развиваща се заплаха
Иранските кибер актьори показаха забележителна еволюция в тактиката, съчетавайки психологическа манипулация с техническа сложност. Чрез GUI, легитимни инструменти и облачни услуги те усъвършенстват подхода си за поддържане на достъп и избягване на откриване, сигнализирайки за продължаващо предизвикателство за регионалните и глобалните усилия за киберсигурност.
