MURKYTOURi tagauks
2024. aasta oktoobris käivitas Iraaniga ühinenud ohustaja UNC2428 küberspionaažikampaania, mis oli suunatud Iisraeli isikutele. Iisraeli kaitsetöövõtja Rafaeli värbajateks maskeerunud rühmitus kasutas ohvrite meelitamiseks tööteemalist sotsiaalset korraldust. Kui üksikisikud ilmutasid huvi, suunati nad Rafaeli jäljendavale petturlikule veebisaidile, kus neil paluti alla laadida rakendustööriist nimega „RafaelConnect.exe”.
Sisukord
Huvist sissetungimiseni: pahavara tarneahel
Allalaaditud tööriist oli tegelikult installiprogramm, mida tuntakse kui LONEFLEET. Sellel oli graafiline kasutajaliides (GUI), mis nägi välja nagu seaduslik töötaotluste portaal, mis nõuab isikuandmeid ja CV üleslaadimist. See näiliselt kahjutu liides varjas kahjulikke kavatsusi. Andmete esitamisel juurutati taustal vaikselt tagauks nimega MURKYTOUR LEAFPILE-nimelise käivitusprogrammi kaudu, andes ründajatele pideva juurdepääsu nakatunud süsteemile. See lähenemisviis tõstab esile ohus osalejate GUI-de strateegilist kasutamist, et varjata pahavara käivitamist kui healoomulist tegevust.
Rohkem kui üks mängija: laienev Iraani küberohu maastik
UNC2428 on vaid üks osa laiemast Iraani küberoperatsioonide puslest. Kampaanial on ühiseid tunnuseid tegevustega, mis on seotud Black Shadow'iga, üksusega, mida süüdistab Iisraeli riiklik küberdirektoraat ja mis arvatakse tegutsevat Iraani luure- ja julgeolekuministeeriumi (MOIS) alluvuses. Nende eesmärgid hõlmavad paljusid Iisraeli sektoreid, sealhulgas:
- Valitsus ja kaitse
- Tervishoid ja rahandus
- Tehnoloogia ja side
Teine näitleja UNC3313, mis on seotud MuddyWateri grupiga, on alates 2022. aastast korraldanud andmepüügikampaaniaid ja on tuntud seaduslike kaugseiretööriistade kasutamise eest varjatud ja püsiva juurdepääsu säilitamiseks. Vahepeal on UNC1549 liikunud pilvepõhise infrastruktuuri poole, et paremini sulanduda ettevõtte keskkonda ja vältida tuvastamist.
Manipuleerimise peategelased: APT42 ja kaugemale
APT42 , tuntud ka kui võluv kassipoeg, on tuntud oma keeruliste sotsiaalsete tehnikate poolest. See rühm on juurutanud võltsitud sisselogimislehti, mis kehastavad suuremaid platvorme nagu Google, Microsoft ja Yahoo! volikirjade kogumiseks. Nad on kasutanud selliseid platvorme nagu Google Sites ja Dropbox, et suunata ohvreid nendele pahatahtlikele lehtedele, suurendades nende pettust.
Lisaks on APT34 (OilRig) kasutanud kohandatud tagauksi, nagu DODGYLAFFA ja SPAREPRIZE, Iraagi valitsussüsteemide rünnakutes. Kokku on küberturvalisuse eksperdid tuvastanud üle 20 unikaalse pahavaraperekonna, mille on 2024. aastal erinevates Lähis-Ida küberoperatsioonides välja töötanud või kasutanud Iraani osalejad.
Järeldus: püsiv ja arenev oht
Iraani kübernäitlejad on näidanud märkimisväärset arengut taktikas, ühendades psühholoogilise manipuleerimise tehnilise keerukusega. GUI-de, seaduslike tööriistade ja pilveteenuste kaudu täiustavad nad oma lähenemisviisi juurdepääsu säilitamiseks ja tuvastamisest kõrvalehoidmiseks, mis annab märku jätkuvast väljakutsest piirkondlikele ja ülemaailmsetele küberjulgeolekualastele jõupingutustele.
