MURKYTOUR Backdoor

अक्टूबर 2024 में, ईरान से जुड़े एक ख़तरा अभिनेता, UNC2428 ने इज़रायली व्यक्तियों को निशाना बनाकर एक साइबर जासूसी अभियान शुरू किया। इज़रायली रक्षा ठेकेदार राफेल के भर्तीकर्ताओं के रूप में, समूह ने पीड़ितों को लुभाने के लिए नौकरी-थीम वाली सोशल इंजीनियरिंग योजना का इस्तेमाल किया। एक बार जब व्यक्तियों ने रुचि दिखाई, तो उन्हें राफेल की नकल करने वाली एक धोखाधड़ी वाली वेबसाइट पर भेज दिया गया, जहाँ उन्हें 'RafaelConnect.exe' नामक एक एप्लिकेशन टूल डाउनलोड करने के लिए कहा गया।

रुचि से घुसपैठ तक: मैलवेयर वितरण श्रृंखला

डाउनलोड किया गया टूल वास्तव में LONEFLEET नामक एक इंस्टॉलर था। इसमें एक ग्राफिकल यूजर इंटरफेस (GUI) था जिसे वैध जॉब एप्लीकेशन पोर्टल की तरह दिखने के लिए डिज़ाइन किया गया था, जिसमें व्यक्तिगत विवरण और रिज्यूमे अपलोड करने का अनुरोध किया गया था। यह प्रतीत होता है कि हानिरहित इंटरफ़ेस हानिकारक इरादे को छुपाता है। डेटा सबमिट करने पर, MURKYTOUR नामक एक बैकडोर को LEAFPILE नामक लॉन्चर के माध्यम से पृष्ठभूमि में चुपचाप तैनात किया गया था, जिससे हमलावरों को संक्रमित सिस्टम तक निरंतर पहुँच मिल गई। यह दृष्टिकोण मैलवेयर निष्पादन को सौम्य गतिविधि के रूप में छिपाने के लिए GUI के खतरे वाले अभिनेताओं के रणनीतिक उपयोग को उजागर करता है।

एक से अधिक खिलाड़ी: बढ़ता ईरानी साइबर खतरा परिदृश्य

UNC2428 ईरानी साइबर संचालन पहेली का सिर्फ़ एक टुकड़ा है। यह अभियान ब्लैक शैडो से जुड़ी गतिविधियों से मिलता-जुलता है, जो कि इज़राइल नेशनल साइबर डायरेक्टोरेट द्वारा आरोपित एक इकाई है और माना जाता है कि यह ईरान के खुफिया और सुरक्षा मंत्रालय (MOIS) के तहत काम करती है। उनके लक्ष्य इज़राइल में कई क्षेत्रों में फैले हुए हैं, जिनमें शामिल हैं:

• सरकार और रक्षा
• स्वास्थ्य सेवा और वित्त
• प्रौद्योगिकी और संचार

मडीवाटर समूह से जुड़े एक अन्य अभिनेता, UNC3313 ने 2022 से स्पीयर-फ़िशिंग अभियान चलाए हैं और चुपके और लगातार पहुँच बनाए रखने के लिए वैध रिमोट मॉनिटरिंग टूल का उपयोग करने के लिए जाना जाता है। इस बीच, UNC1549 ने एंटरप्राइज़ वातावरण में बेहतर मिश्रण करने और पता लगाने से बचने के लिए क्लाउड-आधारित बुनियादी ढांचे की ओर रुख किया है।

हेरफेर के मास्टरमाइंड: APT42 और उससे आगे

APT42 , जिसे चार्मिंग किटन के नाम से भी जाना जाता है, अपनी परिष्कृत सोशल इंजीनियरिंग तकनीकों के लिए प्रसिद्ध है। इस समूह ने क्रेडेंशियल्स प्राप्त करने के लिए Google, Microsoft और Yahoo! जैसे प्रमुख प्लेटफ़ॉर्म की नकल करते हुए नकली लॉगिन पेज तैनात किए हैं। उन्होंने पीड़ितों को इन दुर्भावनापूर्ण पृष्ठों पर भेजने के लिए Google साइट्स और ड्रॉपबॉक्स जैसे प्लेटफ़ॉर्म का उपयोग किया है, जिससे उनकी धोखाधड़ी बढ़ गई है।

इसके अलावा, APT34 (ऑयलरिग) ने इराकी सरकारी प्रणालियों पर हमलों में DODGYLAFFA और SPAREPRIZE जैसे कस्टम बैकडोर का उपयोग किया है। कुल मिलाकर, साइबर सुरक्षा विशेषज्ञों ने 2024 में विभिन्न मध्य पूर्वी साइबर संचालनों में ईरानी अभिनेताओं द्वारा विकसित या उपयोग किए जाने वाले 20 से अधिक अद्वितीय मैलवेयर परिवारों की पहचान की है।

निष्कर्ष: एक सतत और विकसित होता खतरा

ईरानी साइबर अभिनेताओं ने रणनीति में उल्लेखनीय विकास दिखाया है, जिसमें मनोवैज्ञानिक हेरफेर को तकनीकी परिष्कार के साथ जोड़ा गया है। GUI, वैध उपकरणों और क्लाउड सेवाओं के माध्यम से, वे पहुँच बनाए रखने और पहचान से बचने के लिए अपने दृष्टिकोण को परिष्कृत कर रहे हैं, जो क्षेत्रीय और वैश्विक साइबर सुरक्षा प्रयासों के लिए एक सतत चुनौती का संकेत देता है।