MURKYTOUR Bagdør
I oktober 2024 lancerede en trusselsaktør på linje med Iran, UNC2428, en cyberspionagekampagne rettet mod israelske personer. Forklædt som rekrutterere fra den israelske forsvarsentreprenør Rafael, brugte gruppen en social ingeniørordning med jobtema til at lokke ofre. Når enkeltpersoner viste interesse, blev de omdirigeret til et svigagtigt websted, der efterlignede Rafael, hvor de blev bedt om at downloade et applikationsværktøj ved navn 'RafaelConnect.exe.'
Indholdsfortegnelse
Fra interesse til indtrængen: Malware-leveringskæden
Det downloadede værktøj var faktisk et installationsprogram kendt som LONEFLEET. Den indeholdt en grafisk brugergrænseflade (GUI) designet til at ligne en lovlig jobansøgningsportal, der anmodede om personlige oplysninger og upload af CV. Denne tilsyneladende harmløse grænseflade skjulte skadelige hensigter. Ved indsendelse af data blev en bagdør kaldet MURKYTOUR stillet ind i baggrunden via en launcher ved navn LEAFPILE, hvilket gav angribere løbende adgang til det inficerede system. Denne tilgang fremhæver trusselsaktørernes strategiske brug af GUI'er til at skjule malwareudførelse som godartet aktivitet.
Mere end én spiller: The Expanding Iranian Cyber Threat Landscape
UNC2428 er kun en del af et bredere iransk cyberoperationspuslespil. Kampagnen deler karakteristika med aktiviteter knyttet til Black Shadow, en enhed anklaget af Israel National Cyber Directorate og menes at operere under Irans ministerium for efterretning og sikkerhed (MOIS). Deres mål spænder over adskillige sektorer i Israel, herunder:
- Regering og forsvar
- Sundhed og økonomi
- Teknologi og kommunikation
En anden aktør, UNC3313, tilknyttet MuddyWater -gruppen, har kørt spear-phishing-kampagner siden 2022 og er kendt for at bruge legitime fjernovervågningsværktøjer til at opretholde stealth og vedvarende adgang. I mellemtiden har UNC1549 bevæget sig mod cloud-baseret infrastruktur for bedre at blande sig ind i virksomhedsmiljøer og undgå registrering.
Masterminds of Manipulation: APT42 and Beyond
APT42 , også kendt som Charming Kitten, er kendt for sine sofistikerede social engineering-teknikker. Denne gruppe har implementeret falske login-sider, der efterligner store platforme som Google, Microsoft og Yahoo! at høste legitimationsoplysninger. De har brugt platforme som Google Sites og Dropbox til at lede ofre til disse ondsindede sider, hvilket øger deres bedrag.
Desuden har APT34 (OilRig) brugt tilpassede bagdøre såsom DODGYLAFFA og SPAREPRIZE i angreb på irakiske regeringssystemer. I alt har cybersikkerhedseksperter identificeret over 20 unikke malware-familier udviklet eller brugt af iranske aktører på tværs af forskellige mellemøstlige cyberoperationer i 2024.
Konklusion: En vedvarende og udviklende trussel
Iranske cyberaktører har vist en bemærkelsesværdig udvikling i taktik, der kombinerer psykologisk manipulation med teknisk sofistikering. Gennem GUI'er, legitime værktøjer og cloud-tjenester forfiner de deres tilgang til at opretholde adgang og undgå registrering, hvilket signalerer en fortsat udfordring for regionale og globale cybersikkerhedsindsatser.
