MURKYTOUR takaovi
Lokakuussa 2024 Iranin kanssa linjassa oleva uhkatoimija UNC2428 käynnisti kybervakoilukampanjan, joka kohdistui israelilaisiin henkilöihin. Israelilaisen puolustusurakoitsijan Rafaelin rekrytoijana naamioitunut ryhmä käytti työteemaista sosiaalista suunnittelujärjestelmää houkutellakseen uhreja. Kun henkilöt osoittivat kiinnostusta, heidät ohjattiin vilpilliseen Rafaelia jäljittelevälle verkkosivustolle, jossa heitä kehotettiin lataamaan RafaelConnect.exe-niminen sovellustyökalu.
Sisällysluettelo
Kiinnostuksesta tunkeutumiseen: Haittaohjelmien toimitusketju
Ladattu työkalu oli itse asiassa LONEFLEET-niminen asennusohjelma. Siinä oli graafinen käyttöliittymä (GUI), joka oli suunniteltu näyttämään lailliselta työhakemusportaalilta, joka pyytää henkilötietoja ja ansioluettelon latausta. Tämä näennäisesti vaaraton käyttöliittymä kätki haitallisen tarkoituksen. Tietojen lähetyksen jälkeen MURKYTOUR-niminen takaovi otettiin käyttöön äänettömästi taustalla LEAFPILE-nimisen kantoraketin kautta, mikä antoi hyökkääjille jatkuvan pääsyn tartunnan saaneeseen järjestelmään. Tämä lähestymistapa korostaa uhkatekijöiden strategista graafista käyttöliittymää naamioidakseen haittaohjelmien suorittamisen hyvänlaatuiseksi toiminnaksi.
Enemmän kuin yksi pelaaja: laajeneva iranilainen kyberuhkamaisema
UNC2428 on vain yksi pala laajemmasta Iranin kyberoperaatioiden palapelistä. Kampanjalla on yhteisiä piirteitä toimintojen kanssa, jotka liittyvät Black Shadow -yksikköön, jota Israelin kansallinen kyberosasto syyttää ja jonka uskotaan toimivan Iranin tiedustelu- ja turvallisuusministeriön (MOIS) alaisuudessa. Heidän tavoitteensa kattavat lukuisia toimialoja Israelissa, mukaan lukien:
- Hallitus ja puolustus
- Terveydenhuolto ja rahoitus
- Tekniikka ja viestintä
Toinen MuddyWater- ryhmään liittyvä näyttelijä UNC3313 on harjoittanut keihäänkalastelukampanjoita vuodesta 2022 lähtien ja tunnetaan laillisten etävalvontatyökalujen käyttämisestä salaisuuden ja jatkuvan käytön ylläpitämiseen. Samaan aikaan UNC1549 on siirtynyt kohti pilvipohjaista infrastruktuuria sulautuakseen paremmin yritysympäristöihin ja välttääkseen havaitsemisen.
Manipuloinnin päätekijät: APT42 and Beyond
APT42 , joka tunnetaan myös nimellä Charming Kitten, on tunnettu kehittyneistä sosiaalisen suunnittelun tekniikoistaan. Tämä ryhmä on ottanut käyttöön väärennettyjä kirjautumissivuja, jotka jäljittelevät suuria alustoja, kuten Google, Microsoft ja Yahoo! kerätä valtakirjoja. He ovat käyttäneet Google Sitesin ja Dropboxin kaltaisia alustoja ohjatakseen uhreja näille haitallisille sivuille, mikä lisää heidän pettämistään.
Lisäksi APT34 (OilRig) on käyttänyt mukautettuja takaovia, kuten DODGYLAFFA ja SPAREPRIZE hyökkäyksissä Irakin hallintojärjestelmiä vastaan. Kaiken kaikkiaan kyberturvallisuusasiantuntijat ovat tunnistaneet yli 20 ainutlaatuista haittaohjelmaperhettä, joita iranilaiset toimijat ovat kehittäneet tai käyttävät eri Lähi-idän kyberoperaatioissa vuonna 2024.
Johtopäätös: Jatkuva ja kehittyvä uhka
Iranilaiset kybertoimijat ovat osoittaneet huomattavaa kehitystä taktiikoissa yhdistämällä psykologisen manipuloinnin tekniseen hienostuneisuuteen. GUI:iden, laillisten työkalujen ja pilvipalvelujen avulla he parantavat lähestymistapaansa pääsyn ylläpitämiseen ja havaitsemisen välttämiseen, mikä on merkki jatkuvasta haasteesta alueellisille ja maailmanlaajuisille kyberturvallisuustoimille.
