MURKYTOUR Backdoor
Nell'ottobre 2024, un autore di minacce affiliato all'Iran, UNC2428, ha lanciato una campagna di spionaggio informatico rivolta a individui israeliani. Spacciandosi per reclutatori dell'azienda di difesa israeliana Rafael, il gruppo ha utilizzato un sistema di ingegneria sociale a sfondo lavorativo per adescare le vittime. Una volta mostrato interesse, gli utenti venivano reindirizzati a un sito web fraudolento che imitava Rafael, dove veniva richiesto di scaricare un'applicazione denominata "RafaelConnect.exe".
Sommario
Dall'interesse all'intrusione: la catena di distribuzione del malware
Lo strumento scaricato era in realtà un programma di installazione noto come LONEFLEET. Presentava un'interfaccia utente grafica (GUI) progettata per assomigliare a un portale di candidatura legittimo, che richiedeva dati personali e l'invio di un curriculum. Questa interfaccia apparentemente innocua nascondeva intenti dannosi. Dopo l'invio dei dati, una backdoor chiamata MURKYTOUR veniva distribuita silenziosamente in background tramite un launcher denominato LEAFPILE, garantendo agli aggressori l'accesso continuo al sistema infetto. Questo approccio evidenzia l'uso strategico delle GUI da parte degli autori della minaccia per camuffare l'esecuzione del malware come attività benigna.
Più di un attore: il panorama in espansione delle minacce informatiche iraniane
UNC2428 è solo un tassello di un più ampio puzzle di operazioni informatiche iraniane. La campagna condivide alcune caratteristiche con le attività legate a Black Shadow, un'entità accusata dalla Direzione Nazionale per la Sicurezza Informatica israeliana e che si ritiene operi sotto la supervisione del Ministero dell'Intelligence e della Sicurezza iraniano (MOIS). I suoi obiettivi abbracciano numerosi settori in Israele, tra cui:
- Governo e difesa
- Sanità e finanza
- Tecnologia e comunicazioni
Un altro attore, UNC3313, associato al gruppo MuddyWater , conduce campagne di spear-phishing dal 2022 ed è noto per l'utilizzo di strumenti legittimi di monitoraggio remoto per mantenere un accesso stealth e persistente. Nel frattempo, UNC1549 si è spostato verso un'infrastruttura basata su cloud per integrarsi meglio negli ambienti aziendali ed evitare di essere rilevato.
I geni della manipolazione: APT42 e oltre
APT42 , noto anche come Charming Kitten, è rinomato per le sue sofisticate tecniche di ingegneria sociale. Questo gruppo ha implementato false pagine di accesso che impersonano importanti piattaforme come Google, Microsoft e Yahoo! per raccogliere credenziali. Hanno utilizzato piattaforme come Google Sites e Dropbox per indirizzare le vittime verso queste pagine dannose, potenziando così il loro inganno.
Inoltre, APT34 (OilRig) ha utilizzato backdoor personalizzate come DODGYLAFFA e SPAREPRIZE in attacchi ai sistemi governativi iracheni. In totale, gli esperti di sicurezza informatica hanno identificato oltre 20 famiglie di malware uniche, sviluppate o utilizzate da attori iraniani in diverse operazioni informatiche in Medio Oriente nel 2024.
Conclusione: una minaccia persistente e in continua evoluzione
Gli attori informatici iraniani hanno mostrato una notevole evoluzione nelle tattiche, combinando manipolazione psicologica e sofisticatezza tecnica. Attraverso interfacce grafiche utente (GUI), strumenti legittimi e servizi cloud, stanno perfezionando il loro approccio per mantenere l'accesso ed eludere il rilevamento, segnalando una sfida continua per gli sforzi di sicurezza informatica a livello regionale e globale.
