MURKYTOUR Stražnja vrata
U listopadu 2024., akter prijetnje povezan s Iranom, UNC2428, pokrenuo je kampanju cyber špijunaže usmjerenu na izraelske pojedince. Pretvarajući se u regrute iz izraelskog obrambenog poduzetnika Rafaela, skupina je koristila shemu društvenog inženjeringa na temu posla kako bi namamila žrtve. Nakon što su pojedinci pokazali interes, bili su preusmjereni na lažnu web stranicu koja je imitirala Rafaela, gdje je od njih zatraženo da preuzmu aplikacijski alat pod nazivom 'RafaelConnect.exe.'
Sadržaj
Od interesa do upada: lanac isporuke zlonamjernog softvera
Preuzeti alat zapravo je bio instalacijski program poznat kao LONEFLEET. Sadržao je grafičko korisničko sučelje (GUI) dizajnirano da izgleda kao legitiman portal za prijavu za posao, zahtijevajući osobne podatke i učitavanje životopisa. Ovo naizgled bezopasno sučelje skrivalo je štetne namjere. Nakon slanja podataka, backdoor nazvan MURKYTOUR bio je tiho postavljen u pozadini putem pokretača nazvanog LEAFPILE, dopuštajući napadačima stalni pristup zaraženom sustavu. Ovaj pristup naglašava stratešku upotrebu GUI-ja od strane aktera prijetnji kako bi prikrili izvršavanje zlonamjernog softvera kao benignu aktivnost.
Više od jednog igrača: Sve veći krajolik iranske kibernetičke prijetnje
UNC2428 samo je jedan dio šire slagalice iranskih cyber operacija. Kampanja dijeli karakteristike s aktivnostima povezanima s Black Shadowom, entitetom kojeg je optužila Izraelska nacionalna kibernetička uprava i za koji se vjeruje da djeluje pod iranskim Ministarstvom obavještajne službe i sigurnosti (MOIS). Njihovi ciljevi obuhvaćaju brojne sektore u Izraelu, uključujući:
- Vlada i obrana
- Zdravstvo i financije
- Tehnologija i komunikacije
Još jedan akter, UNC3313, povezan s grupom MuddyWater , vodio je spear-phishing kampanje od 2022. i poznat je po korištenju legitimnih alata za daljinsko nadgledanje za održavanje skrivenog i trajnog pristupa. U međuvremenu, UNC1549 se pomaknuo prema infrastrukturi temeljenoj na oblaku kako bi se bolje uklopio u poslovno okruženje i izbjegao otkrivanje.
Umovi manipulacije: APT42 i šire
APT42 , također poznat kao Charming Kitten, poznat je po svojim sofisticiranim tehnikama društvenog inženjeringa. Ova grupa je postavila lažne stranice za prijavu koje se lažno predstavljaju kao glavne platforme kao što su Google, Microsoft i Yahoo! ubrati vjerodajnice. Koristili su se platformama kao što su Google Sites i Dropbox kako bi usmjerili žrtve na te zlonamjerne stranice, čime su pojačali svoju prijevaru.
Štoviše, APT34 (OilRig) je koristio prilagođena stražnja vrata kao što su DODGYLAFFA i SPAREPRIZE u napadima na sustave iračke vlade. Ukupno, stručnjaci za kibernetičku sigurnost identificirali su više od 20 jedinstvenih obitelji zlonamjernog softvera koje su razvili ili koristili iranski akteri u raznim bliskoistočnim kibernetičkim operacijama 2024. godine.
Zaključak: Trajna prijetnja koja se razvija
Iranski cyber akteri pokazali su značajnu evoluciju u taktici, kombinirajući psihološku manipulaciju s tehničkom sofisticiranošću. Putem grafičkih korisničkih sučelja, legitimnih alata i usluga u oblaku, oni usavršavaju svoj pristup održavanju pristupa i izbjegavanju otkrivanja, signalizirajući stalni izazov za regionalne i globalne napore u području kibernetičke sigurnosti.
