درب پشتی MURKYTOUR

در اکتبر 2024، یک عامل تهدید همسو با ایران، UNC2428، یک کمپین جاسوسی سایبری را با هدف هدف قرار دادن افراد اسرائیلی راه اندازی کرد. این گروه که به عنوان استخدام‌کنندگان رافائل، پیمانکار دفاعی اسرائیلی ظاهر شده بود، از یک طرح مهندسی اجتماعی با موضوع شغل برای جذب قربانیان استفاده کرد. هنگامی که افراد علاقه نشان دادند، به یک وب سایت تقلبی با تقلید از رافائل هدایت شدند، جایی که از آنها خواسته شد یک ابزار کاربردی به نام "RafaelConnect.exe" را دانلود کنند.

از علاقه تا نفوذ: زنجیره تحویل بدافزار

ابزار دانلود شده در واقع یک نصب کننده به نام LONEFLEET بود. این دارای یک رابط کاربری گرافیکی (GUI) طراحی شده است که شبیه به یک پورتال برنامه شغلی قانونی است که اطلاعات شخصی و آپلود رزومه را درخواست می کند. این رابط به ظاهر بی ضرر، نیت مضر را پنهان می کرد. پس از ارسال داده ها، یک درب پشتی به نام MURKYTOUR از طریق پرتاب کننده ای به نام LEAFPILE به صورت بی صدا در پس زمینه مستقر شد و به مهاجمان امکان دسترسی مداوم به سیستم آلوده را می داد. این رویکرد استفاده استراتژیک بازیگران تهدید از رابط‌های کاربری گرافیکی برای پنهان کردن اجرای بدافزار به‌عنوان فعالیت خوش‌خیم را برجسته می‌کند.

بیش از یک بازیکن: چشم انداز در حال گسترش تهدیدات سایبری ایران

UNC2428 تنها بخشی از یک پازل گسترده تر عملیات سایبری ایران است. این کمپین ویژگی‌های مشترکی با فعالیت‌های مرتبط با Black Shadow دارد، نهادی که توسط اداره ملی سایبری اسرائیل متهم است و گمان می‌رود زیر نظر وزارت اطلاعات و امنیت ایران (MOIS) فعالیت می‌کند. اهداف آنها بخش های متعددی در اسرائیل را شامل می شود، از جمله:

• دولت و دفاع
• بهداشت و درمان و امور مالی
• فناوری و ارتباطات

بازیگر دیگر، UNC3313، مرتبط با گروه MuddyWater ، از سال 2022 کمپین های فیشینگ نیزه ای را اجرا کرده است و به دلیل استفاده از ابزارهای نظارت از راه دور قانونی برای حفظ مخفی کاری و دسترسی مداوم شناخته شده است. در همین حال، UNC1549 به سمت زیرساخت های مبتنی بر ابر حرکت کرده است تا بهتر با محیط های سازمانی ترکیب شود و از شناسایی جلوگیری کند.

مغز متفکران دستکاری: APT42 و فراتر از آن

APT42 ، همچنین به عنوان بچه گربه جذاب شناخته می شود، به دلیل تکنیک های پیچیده مهندسی اجتماعی خود مشهور است. این گروه صفحات لاگین جعلی را با جعل هویت پلتفرم های اصلی مانند گوگل، مایکروسافت و یاهو مستقر کرده است! برای برداشت اعتبار آنها از پلتفرم هایی مانند Google Sites و Dropbox برای هدایت قربانیان به این صفحات مخرب استفاده کرده اند و فریب آنها را افزایش می دهند.

علاوه بر این، APT34 (OilRig) از درهای پشتی سفارشی مانند DODGYLAFFA و SPAREPRIZE در حملات به سیستم های دولتی عراق استفاده کرده است. در مجموع، کارشناسان امنیت سایبری بیش از 20 خانواده بدافزار منحصربه‌فرد را شناسایی کرده‌اند که توسط بازیگران ایرانی در عملیات‌های مختلف سایبری خاورمیانه در سال 2024 توسعه یافته یا مورد استفاده قرار گرفته‌اند.

نتیجه گیری: یک تهدید دائمی و در حال تحول

بازیگران سایبری ایرانی تحول قابل توجهی در تاکتیک ها نشان داده اند و دستکاری روانی را با پیچیدگی های فنی ترکیب کرده اند. از طریق رابط‌های کاربری گرافیکی، ابزارهای قانونی و سرویس‌های ابری، آن‌ها رویکرد خود را برای حفظ دسترسی و فرار از شناسایی اصلاح می‌کنند، که نشان‌دهنده یک چالش مداوم برای تلاش‌های امنیت سایبری منطقه‌ای و جهانی است.