MURKYTOUR Backdoor
2024. gada oktobrī draudu izpildītājs, kas līdzinās Irānai, UNC2428 uzsāka kiberspiegošanas kampaņu, kuras mērķis bija Izraēlas personas. Maskavājoties par Izraēlas aizsardzības darbuzņēmēja Rafaela vervētājiem, grupa izmantoja ar darbu saistītu sociālās inženierijas shēmu, lai pievilinātu upurus. Tiklīdz personas izrādīja interesi, tās tika novirzītas uz krāpniecisku vietni, kas imitēja Rafaelu, kur viņiem tika piedāvāts lejupielādēt lietojumprogrammas rīku RafaelConnect.exe.
Satura rādītājs
No intereses līdz ielaušanās: ļaunprātīgas programmatūras piegādes ķēde
Lejupielādētais rīks faktiski bija instalētājs, kas pazīstams kā LONEFLEET. Tajā bija grafiskais lietotāja interfeiss (GUI), kas izstrādāts tā, lai tas izskatītos kā likumīgs darba pieteikumu portāls, kurā tika pieprasīta personas informācija un CV augšupielāde. Šī šķietami nekaitīgā saskarne slēpa kaitīgus nolūkus. Pēc datu iesniegšanas fonā klusi tika izvietotas aizmugures durvis ar nosaukumu MURKYTOUR, izmantojot palaidēju ar nosaukumu LEAFPILE, nodrošinot uzbrucējiem pastāvīgu piekļuvi inficētajai sistēmai. Šī pieeja izceļ draudu dalībnieku stratēģisko GUI izmantošanu, lai slēptu ļaunprātīgas programmatūras izpildi kā labdabīgu darbību.
Vairāk nekā viens spēlētājs: paplašinās Irānas kiberdraudu ainava
UNC2428 ir tikai viena daļa no plašākas Irānas kiberoperāciju mīklas. Kampaņai ir kopīgas iezīmes ar darbībām, kas saistītas ar Black Shadow, vienību, kuru apsūdz Izraēlas Nacionālais kiberdirektorāts un kura, domājams, darbojas Irānas Izlūkošanas un drošības ministrijas (MOIS) pakļautībā. Viņu mērķi aptver daudzas Izraēlas nozares, tostarp:
- Valdība un aizsardzība
- Veselības aprūpe un finanses
- Tehnoloģijas un komunikācijas
Cits aktieris UNC3313, kas saistīts ar grupu MuddyWater , kopš 2022. gada ir vadījis pikšķerēšanas kampaņas un ir pazīstams ar to, ka izmanto likumīgus attālās uzraudzības rīkus, lai nodrošinātu slepenu un pastāvīgu piekļuvi. Tikmēr UNC1549 ir pārcēlies uz mākoņa infrastruktūru, lai labāk iekļautos uzņēmuma vidē un izvairītos no atklāšanas.
Manipulāciju vadītāji: APT42 un tālāk
APT42 , kas pazīstams arī kā burvīgs kaķēns, ir slavens ar savām izsmalcinātajām sociālās inženierijas metodēm. Šī grupa ir izvietojusi viltotas pieteikšanās lapas, kas uzdodas par tādām lielākajām platformām kā Google, Microsoft un Yahoo! lai novāktu akreditācijas datus. Viņi ir izmantojuši tādas platformas kā Google vietnes un Dropbox, lai upurus novirzītu uz šīm ļaunprātīgajām lapām, pastiprinot viņu maldināšanu.
Turklāt APT34 (OilRig) ir izmantojis pielāgotas aizmugures durvis, piemēram, DODGYLAFFA un SPAREPRIZE uzbrukumos Irākas valdības sistēmām. Kopumā kiberdrošības eksperti ir identificējuši vairāk nekā 20 unikālas ļaunprātīgas programmatūras saimes, kuras Irānas dalībnieki ir izstrādājuši vai izmantojuši dažādās Tuvo Austrumu kiberoperācijās 2024. gadā.
Secinājums: pastāvīgs un mainīgs drauds
Irānas kiberaktieri ir parādījuši ievērojamu taktikas evolūciju, apvienojot psiholoģiskās manipulācijas ar tehnisku izsmalcinātību. Izmantojot GUI, likumīgus rīkus un mākoņpakalpojumus, viņi uzlabo savu pieeju piekļuves uzturēšanai un izvairīšanos no atklāšanas, tādējādi norādot uz nepārtrauktu izaicinājumu reģionālajiem un globālajiem kiberdrošības centieniem.
