MURKYTOUR Backdoor
2024 m. spalį grėsmių veikėjas, susijęs su Iranu, UNC2428, pradėjo kibernetinio šnipinėjimo kampaniją, nukreiptą prieš Izraelio asmenis. Apsimetinėdama Izraelio gynybos rangovo Rafaelio verbuotojais, grupuotė naudojo darbo tematikos socialinės inžinerijos schemą, kad priviliotų aukas. Kai asmenys susidomėjo, jie buvo nukreipti į apgaulingą Rafaelį imituojančią svetainę, kur jie buvo raginami atsisiųsti taikomosios programos įrankį pavadinimu „RafaelConnect.exe“.
Turinys
Nuo susidomėjimo iki įsibrovimo: kenkėjiškų programų pristatymo grandinė
Atsisiųstas įrankis iš tikrųjų buvo diegimo programa, žinoma kaip LONEFLEET. Jame buvo grafinė vartotojo sąsaja (GUI), sukurta taip, kad atrodytų kaip teisėtas paraiškų dėl darbo portalas, kuriame prašoma asmeninės informacijos ir įkelti gyvenimo aprašymą. Ši, atrodytų, nekenksminga sąsaja slėpė žalingus ketinimus. Pateikus duomenis, užpakalinės durys, pavadintos MURKYTOUR, buvo tyliai įdiegtos fone per paleidimo priemonę pavadinimu LEAFPILE, suteikdamos užpuolikams nuolatinę prieigą prie užkrėstos sistemos. Šis metodas pabrėžia, kad grėsmės veikėjai strategiškai naudoja GUI, kad kenkėjiškų programų vykdymą nuslėptų kaip nekenksmingą veiklą.
Daugiau nei vienas žaidėjas: besiplečiantis Irano kibernetinės grėsmės kraštovaizdis
UNC2428 yra tik viena platesnio Irano kibernetinių operacijų galvosūkio dalis. Kampanija turi bendrų bruožų, susijusių su veikla, susijusia su „Black Shadow“ – subjektu, kurį apkaltino Izraelio nacionalinis kibernetinis direktoratas ir, kaip manoma, veikiantį Irano žvalgybos ir saugumo ministerijai (MOIS). Jų tikslai apima daugybę Izraelio sektorių, įskaitant:
- Vyriausybė ir gynyba
- Sveikatos priežiūra ir finansai
- Technologijos ir komunikacijos
Kitas veikėjas UNC3313, susijęs su „ MuddyWater“ grupe, nuo 2022 m. vykdo sukčiavimo kampanijas ir yra žinomas dėl to, kad naudoja teisėtus nuotolinio stebėjimo įrankius, kad užtikrintų slaptą ir nuolatinę prieigą. Tuo tarpu UNC1549 perėjo prie debesų infrastruktūros, kad geriau įsilietų į įmonės aplinką ir išvengtų aptikimo.
Manipuliavimo meistrai: APT42 ir ne tik
APT42 , taip pat žinomas kaip žavus kačiukas, yra žinomas dėl savo sudėtingų socialinės inžinerijos metodų. Ši grupė įdiegė netikrus prisijungimo puslapius, kurie apsimeta pagrindinėmis platformomis, tokiomis kaip Google, Microsoft ir Yahoo! nuimti įgaliojimus. Jie naudojo tokias platformas kaip „Google Sites“ ir „Dropbox“, kad nukreiptų aukas į šiuos kenkėjiškus puslapius ir sustiprintų jų apgaulę.
Be to, APT34 (OilRig) panaudojo pasirinktines užpakalines duris, tokias kaip DODGYLAFFA ir SPAREPRIZE atakoms prieš Irako vyriausybės sistemas. Iš viso kibernetinio saugumo ekspertai nustatė daugiau nei 20 unikalių kenkėjiškų programų šeimų, kurias 2024 m. sukūrė arba naudojo Irano veikėjai įvairiose Artimųjų Rytų kibernetinėse operacijose.
Išvada: nuolatinė ir besivystanti grėsmė
Irano kibernetiniai veikėjai parodė pastebimą taktikos evoliuciją, derindami psichologines manipuliacijas su techniniu rafinuotumu. Naudodami GUI, teisėtus įrankius ir debesijos paslaugas, jie tobulina savo požiūrį į prieigos išlaikymą ir aptikimo išvengimą, o tai rodo nuolatinį regioninio ir pasaulinio kibernetinio saugumo iššūkį.
