MURKYTOUR Backdoor
Τον Οκτώβριο του 2024, ένας παράγοντας απειλών ευθυγραμμισμένος με το Ιράν, το UNC2428, ξεκίνησε μια εκστρατεία κατασκοπείας στον κυβερνοχώρο με στόχο Ισραηλινά άτομα. Μεταμφιεσμένη σε στρατολόγους από τον Ισραηλινό αμυντικό εργολάβο Ραφαέλ, η ομάδα χρησιμοποίησε ένα πρόγραμμα κοινωνικής μηχανικής με θέμα την εργασία για να δελεάσει τα θύματα. Μόλις τα άτομα έδειξαν ενδιαφέρον, ανακατευθύνθηκαν σε έναν δόλιο ιστότοπο που μιμούνταν τον Rafael, όπου τους ζητήθηκε να κατεβάσουν ένα εργαλείο εφαρμογής με το όνομα "RafaelConnect.exe".
Πίνακας περιεχομένων
Από το ενδιαφέρον στην εισβολή: Η αλυσίδα παράδοσης κακόβουλου λογισμικού
Το εργαλείο λήψης ήταν στην πραγματικότητα ένα πρόγραμμα εγκατάστασης γνωστό ως LONEFLEET. Διέθετε μια γραφική διεπαφή χρήστη (GUI) που είχε σχεδιαστεί για να μοιάζει με μια νόμιμη πύλη αίτησης εργασίας, που ζητούσε προσωπικά στοιχεία και μεταφόρτωση βιογραφικού. Αυτή η φαινομενικά ακίνδυνη διεπαφή έκρυβε επιβλαβή πρόθεση. Κατά την υποβολή δεδομένων, μια κερκόπορτα που ονομάζεται MURKYTOUR αναπτύχθηκε σιωπηλά στο παρασκήνιο μέσω ενός εκτοξευτή που ονομάζεται LEAFPILE, παρέχοντας στους εισβολείς συνεχή πρόσβαση στο μολυσμένο σύστημα. Αυτή η προσέγγιση υπογραμμίζει τη στρατηγική χρήση των GUI από τους παράγοντες απειλής για να συγκαλύψει την εκτέλεση κακόβουλου λογισμικού ως καλοήθης δραστηριότητα.
Περισσότεροι από Ένας Παίκτες: Το διευρυνόμενο ιρανικό τοπίο απειλών στον κυβερνοχώρο
Το UNC2428 είναι μόνο ένα κομμάτι ενός ευρύτερου παζλ ιρανικών επιχειρήσεων στον κυβερνοχώρο. Η καμπάνια μοιράζεται χαρακτηριστικά με δραστηριότητες που συνδέονται με το Black Shadow, μια οντότητα που κατηγορείται από την Εθνική Διεύθυνση Κυβερνοχώρου του Ισραήλ και πιστεύεται ότι λειτουργεί υπό το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν (MOIS). Οι στόχοι τους καλύπτουν πολλούς τομείς στο Ισραήλ, όπως:
- Κυβέρνηση και άμυνα
- Υγειονομική περίθαλψη και οικονομικά
- Τεχνολογία και επικοινωνίες
Ένας άλλος ηθοποιός, ο UNC3313, που σχετίζεται με τον όμιλο MuddyWater , διεξάγει καμπάνιες spear-phishing από το 2022 και είναι γνωστός για τη χρήση νόμιμων εργαλείων απομακρυσμένης παρακολούθησης για τη διατήρηση της μυστικότητας και της επίμονης πρόσβασης. Εν τω μεταξύ, το UNC1549 έχει κινηθεί προς την υποδομή που βασίζεται σε σύννεφο για να εναρμονιστεί καλύτερα με τα εταιρικά περιβάλλοντα και να αποφύγει τον εντοπισμό.
Masterminds of Manipulation: APT42 and Beyond
Το APT42 , γνωστό και ως Charming Kitten, είναι γνωστό για τις εξελιγμένες τεχνικές κοινωνικής μηχανικής του. Αυτή η ομάδα έχει αναπτύξει ψεύτικες σελίδες σύνδεσης που υποδύονται μεγάλες πλατφόρμες όπως η Google, η Microsoft και η Yahoo! για τη συγκομιδή των διαπιστευτηρίων. Έχουν χρησιμοποιήσει πλατφόρμες όπως το Google Sites και το Dropbox για να διοχετεύουν τα θύματα σε αυτές τις κακόβουλες σελίδες, ενισχύοντας την εξαπάτησή τους.
Επιπλέον, το APT34 (OilRig) έχει χρησιμοποιήσει προσαρμοσμένες κερκόπορτες όπως το DODGYLAFFA και το SPAREPRIZE σε επιθέσεις σε ιρακινά κυβερνητικά συστήματα. Συνολικά, ειδικοί στον τομέα της κυβερνοασφάλειας έχουν εντοπίσει περισσότερες από 20 μοναδικές οικογένειες κακόβουλου λογισμικού που αναπτύχθηκαν ή χρησιμοποιήθηκαν από Ιρανούς παράγοντες σε διάφορες επιχειρήσεις στον κυβερνοχώρο στη Μέση Ανατολή το 2024.
Συμπέρασμα: Μια επίμονη και εξελισσόμενη απειλή
Οι Ιρανοί κυβερνοτελεστές έχουν δείξει μια αξιοσημείωτη εξέλιξη στην τακτική, συνδυάζοντας την ψυχολογική χειραγώγηση με την τεχνική πολυπλοκότητα. Μέσω των GUI, των νόμιμων εργαλείων και των υπηρεσιών cloud, βελτιώνουν την προσέγγισή τους για τη διατήρηση της πρόσβασης και την αποφυγή του εντοπισμού, σηματοδοτώντας μια συνεχή πρόκληση για τις περιφερειακές και παγκόσμιες προσπάθειες για την ασφάλεια στον κυβερνοχώρο.
