MURKYTOUR Porta del darrere
L'octubre de 2024, un actor d'amenaces alineat amb l'Iran, UNC2428, va llançar una campanya d'espionatge cibernètic dirigida a persones israelianes. El grup, fent-se passar per reclutadors del contractista de defensa israelià Rafael, va utilitzar un esquema d'enginyeria social amb temes laborals per atraure les víctimes. Un cop els individus van mostrar interès, van ser redirigits a un lloc web fraudulent imitant Rafael, on se'ls va demanar que baixessin una eina d'aplicació anomenada "RafaelConnect.exe".
Taula de continguts
De l’interès a la intrusió: la cadena de lliurament de programari maliciós
L'eina descarregada era en realitat un instal·lador conegut com LONEFLEET. Presentava una interfície gràfica d'usuari (GUI) dissenyada per semblar un portal de sol·licitud de feina legítim, que sol·licitava dades personals i la càrrega d'un currículum. Aquesta interfície aparentment inofensiva amagava una intenció nociva. Després de l'enviament de les dades, es va desplegar silenciosament en segon pla una porta del darrere anomenada MURKYTOUR mitjançant un llançador anomenat LEAFPILE, que permetia als atacants un accés continu al sistema infectat. Aquest enfocament destaca l'ús estratègic de les interfícies gràfics d'usuari dels actors de l'amenaça per disfressar l'execució de programari maliciós com una activitat benigna.
Més d’un jugador: el panorama de l’amenaça cibernètica iranià en expansió
UNC2428 és només una peça d'un trencaclosques d'operacions cibernètiques iranià més ampli. La campanya comparteix característiques amb activitats vinculades a Black Shadow, una entitat acusada per la Direcció Cibernètica Nacional d'Israel i que es creu que opera sota el Ministeri d'Intel·ligència i Seguretat (MOIS) de l'Iran. Els seus objectius abasten nombrosos sectors a Israel, com ara:
- Govern i defensa
- Sanitat i finances
- Tecnologia i comunicacions
Un altre actor, UNC3313, associat al grup MuddyWater , ha realitzat campanyes de pesca de pesca des del 2022 i és conegut per utilitzar eines de control remot legítimes per mantenir l'accés sigil i persistent. Mentrestant, UNC1549 s'ha mogut cap a una infraestructura basada en núvol per integrar-se millor amb entorns empresarials i evitar la detecció.
Els cervells de la manipulació: APT42 i més enllà
APT42 , també conegut com Charming Kitten, és conegut per les seves sofisticades tècniques d'enginyeria social. Aquest grup ha desplegat pàgines d'inici de sessió falses que suplanten plataformes principals com Google, Microsoft i Yahoo! per collir credencials. Han utilitzat plataformes com Google Sites i Dropbox per canalitzar les víctimes a aquestes pàgines malicioses, millorant el seu engany.
A més, APT34 (OilRig) ha utilitzat portes posteriors personalitzades com DODGYLAFFA i SPAREPRIZE en atacs als sistemes governamentals iraquians. En total, els experts en ciberseguretat han identificat més de 20 famílies úniques de programari maliciós desenvolupades o utilitzades per actors iranians en diverses operacions cibernètiques de l'Orient Mitjà el 2024.
Conclusió: una amenaça persistent i en evolució
Els ciberactors iranians han mostrat una notable evolució en les tàctiques, combinant la manipulació psicològica amb la sofisticació tècnica. Mitjançant les GUI, les eines legítimes i els serveis al núvol, estan perfeccionant el seu enfocament per mantenir l'accés i evadir la detecció, cosa que indica un repte continu per als esforços de ciberseguretat regionals i globals.
