MURKYTOUR Backdoor
V říjnu 2024 zahájila hrozba napojená na Írán, UNC2428, kyberšpionážní kampaň zaměřenou na izraelské jednotlivce. Skupina se vydávala za náboráře od izraelského dodavatele obrany Rafael a používala k lákání obětí schéma sociálního inženýrství na téma práce. Jakmile jednotlivci projevili zájem, byli přesměrováni na podvodnou webovou stránku napodobující Rafaela, kde byli vyzváni ke stažení aplikačního nástroje s názvem „RafaelConnect.exe“.
Obsah
Od zájmu k narušení: Řetězec doručování malwaru
Stažený nástroj byl ve skutečnosti instalační program známý jako LONEFLEET. Vyznačoval se grafickým uživatelským rozhraním (GUI) navrženým tak, aby vypadal jako legitimní portál s žádostí o zaměstnání, vyžadující osobní údaje a nahrání životopisu. Toto zdánlivě neškodné rozhraní skrývalo škodlivé úmysly. Po odeslání dat byla na pozadí tiše nasazena zadní vrátka nazvaná MURKYTOUR prostřednictvím spouštěče nazvaného LEAFPILE, což útočníkům poskytlo trvalý přístup k infikovanému systému. Tento přístup zdůrazňuje strategické využití GUI aktéry hrozeb k maskování spouštění malwaru jako neškodné aktivity.
Více než jeden hráč: Rozšiřující se íránská krajina kybernetických hrozeb
UNC2428 je jen jedním kouskem širší skládačky íránských kybernetických operací. Kampaň sdílí charakteristiky s aktivitami spojenými s Black Shadow, entitou obviněnou Izraelským národním kybernetickým ředitelstvím a věřící, že působí pod íránským ministerstvem pro zpravodajství a bezpečnost (MOIS). Jejich cíle pokrývají řadu sektorů v Izraeli, včetně:
- Vláda a obrana
- Zdravotnictví a finance
- Technologie a komunikace
Další aktér, UNC3313, spojený se skupinou MuddyWater , provozuje od roku 2022 kampaně spear-phishing a je známý používáním legitimních nástrojů vzdáleného monitorování k udržení utajeného a trvalého přístupu. Mezitím UNC1549 přešel na cloudovou infrastrukturu, aby lépe zapadl do podnikového prostředí a vyhnul se detekci.
Masterminds of Manipulation: APT42 and Beyond
APT42 , také známý jako Charming Kitten, je známý pro své sofistikované techniky sociálního inženýrství. Tato skupina nasadila falešné přihlašovací stránky vydávající se za hlavní platformy jako Google, Microsoft a Yahoo! sklízet pověření. Použili platformy jako Google Sites a Dropbox, aby nasměrovali oběti na tyto škodlivé stránky, čímž zvýšili jejich podvod.
Navíc APT34 (OilRig) využívá při útocích na irácké vládní systémy vlastní zadní vrátka jako DODGYLAFFA a SPAREPRIZE. Celkem odborníci na kybernetickou bezpečnost identifikovali více než 20 jedinečných rodin malwaru vyvinutých nebo používaných íránskými aktéry v různých kybernetických operacích na Blízkém východě v roce 2024.
Závěr: Trvalá a vyvíjející se hrozba
Íránští kybernetičtí aktéři prokázali pozoruhodný vývoj v taktice, kombinující psychologickou manipulaci s technickou vyspělostí. Prostřednictvím GUI, legitimních nástrojů a cloudových služeb zdokonalují svůj přístup k zachování přístupu a vyhýbání se detekci, což signalizuje pokračující výzvu pro regionální a globální snahy o kybernetickou bezpečnost.
