MURKYTOUR Pintu Belakang
Pada Oktober 2024, seorang pelakon ancaman yang sejajar dengan Iran, UNC2428, melancarkan kempen pengintipan siber yang menyasarkan individu Israel. Menyamar sebagai perekrut daripada kontraktor pertahanan Israel Rafael, kumpulan itu menggunakan skim kejuruteraan sosial bertema pekerjaan untuk menarik mangsa. Setelah individu menunjukkan minat, mereka dialihkan ke tapak web penipuan meniru Rafael, di mana mereka digesa untuk memuat turun alat aplikasi bernama 'RafaelConnect.exe.'
Isi kandungan
Daripada Minat kepada Pencerobohan: Rantaian Penghantaran Perisian Hasad
Alat yang dimuat turun sebenarnya adalah pemasang yang dikenali sebagai LONEFLEET. Ia menampilkan antara muka pengguna grafik (GUI) yang direka bentuk untuk kelihatan seperti portal permohonan kerja yang sah, meminta butiran peribadi dan muat naik resume. Antara muka yang kelihatan tidak berbahaya ini menyembunyikan niat berbahaya. Selepas penyerahan data, pintu belakang yang dipanggil MURKYTOUR telah digunakan secara senyap di latar belakang melalui pelancar bernama LEAFPILE, memberikan penyerang akses berterusan kepada sistem yang dijangkiti. Pendekatan ini menyerlahkan penggunaan strategik GUI oleh pelaku ancaman untuk menyamarkan pelaksanaan perisian hasad sebagai aktiviti jinak.
Lebih daripada Seorang Pemain: Landskap Ancaman Siber Iran yang Berkembang
UNC2428 hanyalah sebahagian daripada teka-teki operasi siber Iran yang lebih luas. Kempen itu berkongsi ciri dengan aktiviti yang dikaitkan dengan Black Shadow, sebuah entiti yang dituduh oleh Direktorat Siber Kebangsaan Israel dan dipercayai beroperasi di bawah Kementerian Perisikan dan Keselamatan Iran (MOIS). Sasaran mereka merangkumi pelbagai sektor di Israel, termasuk:
- Kerajaan dan pertahanan
- Penjagaan kesihatan dan kewangan
- Teknologi dan komunikasi
Seorang lagi pelakon, UNC3313, yang dikaitkan dengan kumpulan MuddyWater , telah menjalankan kempen pancingan lembing sejak 2022 dan terkenal kerana menggunakan alat pemantauan jarak jauh yang sah untuk mengekalkan akses tersembunyi dan berterusan. Sementara itu, UNC1549 telah bergerak ke arah infrastruktur berasaskan awan untuk menggabungkan dengan lebih baik ke dalam persekitaran perusahaan dan mengelakkan pengesanan.
Dalang Manipulasi: APT42 dan Seterusnya
APT42 , juga dikenali sebagai Charming Kitten, terkenal dengan teknik kejuruteraan sosial yang canggih. Kumpulan ini telah menggunakan halaman log masuk palsu yang menyamar sebagai platform utama seperti Google, Microsoft dan Yahoo! untuk menuai kelayakan. Mereka telah menggunakan platform seperti Tapak Google dan Dropbox untuk menyalurkan mangsa ke halaman berniat jahat ini, meningkatkan penipuan mereka.
Selain itu, APT34 (OilRig) telah menggunakan pintu belakang tersuai seperti DODGYLAFFA dan SPAREPRIZE dalam serangan ke atas sistem kerajaan Iraq. Secara keseluruhan, pakar keselamatan siber telah mengenal pasti lebih 20 keluarga perisian hasad unik yang dibangunkan atau digunakan oleh pelakon Iran merentasi pelbagai operasi siber Timur Tengah pada tahun 2024.
Kesimpulan: Ancaman yang Berterusan dan Berkembang
Pelakon siber Iran telah menunjukkan evolusi yang ketara dalam taktik, menggabungkan manipulasi psikologi dengan kecanggihan teknikal. Melalui GUI, alat yang sah dan perkhidmatan awan, mereka memperhalusi pendekatan mereka untuk mengekalkan akses dan mengelak pengesanan, menandakan cabaran berterusan untuk usaha keselamatan siber serantau dan global.
