MURKYTOUR Backdoor
2024 októberében egy Iránhoz igazodó fenyegetettségi szereplő, az UNC2428, kiberkémkedési kampányt indított izraeli személyek ellen. Az izraeli védelmi vállalkozó, Rafael toborzóinak álcázva a csoport munka témájú szociális tervezési rendszert alkalmazott az áldozatok csalogatására. Miután az egyének érdeklődést mutattak, átirányították őket egy Rafaelt utánzó csaló weboldalra, ahol a „RafaelConnect.exe” nevű alkalmazási eszköz letöltésére kérték őket.
Tartalomjegyzék
Az érdeklődéstől a behatolásig: A rosszindulatú programok kézbesítési lánca
A letöltött eszköz valójában egy LONEFLEET néven ismert telepítő volt. Grafikus felhasználói felületet (GUI) tartalmazott, amelyet úgy terveztek, hogy úgy nézzen ki, mint egy legitim álláspályázati portál, amely személyes adatokat és önéletrajz-feltöltést kért. Ez a látszólag ártalmatlan felület káros szándékot rejtett. Az adatok elküldésekor a háttérben a LEAFPILE nevű indítón keresztül csendesen telepítették a MURKYTOUR nevű hátsó ajtót, amely folyamatos hozzáférést biztosít a támadóknak a fertőzött rendszerhez. Ez a megközelítés rávilágít arra, hogy a fenyegetés szereplői a grafikus felhasználói felületeket stratégiailag használják a rosszindulatú programok végrehajtásának jóindulatú tevékenységnek álcázására.
Egynél több játékos: A terjeszkedő iráni kiberfenyegetettség
Az UNC2428 csak egy darabja egy tágabb iráni kiberműveleti rejtvénynek. A kampány jellemzői a Black Shadowhoz kapcsolódó tevékenységekhez, az Izraeli Nemzeti Kiberigazgatási Igazgatóság által vádolt szervezethez, amelyről azt feltételezik, hogy az iráni hírszerzési és biztonsági minisztérium (MOIS) alá tartozik. Céljaik számos szektorra kiterjednek Izraelben, többek között:
- Kormány és védelem
- Egészségügy és pénzügy
- Technológia és kommunikáció
Egy másik szereplő, az UNC3313, aki a MuddyWater csoporthoz kapcsolódik, 2022 óta folytat adathalász kampányokat, és arról ismert, hogy törvényes távfelügyeleti eszközöket használ a lopakodó és állandó hozzáférés fenntartásához. Eközben az UNC1549 a felhőalapú infrastruktúra felé mozdult el, hogy jobban beleolvadjon a vállalati környezetbe és elkerülje az észlelést.
A manipuláció mesterei: APT42 and Beyond
Az APT42 , más néven Charming Kitten, híres kifinomult social engineering technikájáról. Ez a csoport olyan hamis bejelentkezési oldalakat telepített, amelyek olyan nagy platformokat adnak ki, mint a Google, a Microsoft és a Yahoo! hitelesítő okmányokat gyűjteni. Olyan platformokat használtak, mint a Google Sites és a Dropbox, hogy az áldozatokat ezekre a rosszindulatú oldalakra irányítsák, fokozva a megtévesztésüket.
Ezenkívül az APT34 (OilRig) olyan egyedi hátsó ajtókat használt, mint a DODGYLAFFA és a SPAREPRIZE az iraki kormányzati rendszerek elleni támadásokban. A kiberbiztonsági szakértők összesen több mint 20 egyedi rosszindulatú programcsaládot azonosítottak, amelyeket iráni szereplők fejlesztettek vagy használtak különböző közel-keleti kiberműveletekben 2024-ben.
Következtetés: tartós és folyamatosan fejlődő fenyegetés
Az iráni kiberszereplők figyelemreméltó taktikai fejlődésen mentek keresztül, a pszichológiai manipulációt technikai kifinomultsággal ötvözték. GUI-kon, legitim eszközökön és felhőszolgáltatásokon keresztül finomítják a hozzáférés fenntartását és az észlelés elkerülését célzó megközelítésüket, jelezve a regionális és globális kiberbiztonsági erőfeszítések folyamatos kihívását.
