MURKYTOUR Bakdør
I oktober 2024 lanserte en trusselaktør på linje med Iran, UNC2428, en nettspionasjekampanje rettet mot israelske individer. Forestilt seg som rekrutterere fra den israelske forsvarsentreprenøren Rafael, brukte gruppen et sosialt ingeniøropplegg med jobbtema for å lokke ofre. Når enkeltpersoner viste interesse, ble de omdirigert til et uredelig nettsted som imiterte Rafael, hvor de ble bedt om å laste ned et applikasjonsverktøy kalt 'RafaelConnect.exe.'
Innholdsfortegnelse
Fra interesse til inntrenging: Malware Delivery Chain
Det nedlastede verktøyet var faktisk et installasjonsprogram kjent som LONEFLEET. Den inneholdt et grafisk brukergrensesnitt (GUI) designet for å se ut som en legitim jobbsøknadsportal, som ber om personlige detaljer og opplasting av CV. Dette tilsynelatende harmløse grensesnittet skjulte skadelige hensikter. Ved innsending av data ble en bakdør kalt MURKYTOUR utplassert stille i bakgrunnen via en bærerakett kalt LEAFPILE, som ga angripere kontinuerlig tilgang til det infiserte systemet. Denne tilnærmingen fremhever trusselaktørenes strategiske bruk av grafiske brukergrensesnitt for å skjule kjøring av skadelig programvare som godartet aktivitet.
Mer enn én spiller: The Expanding Iranian Cyber Threat Landscape
UNC2428 er bare en del av et bredere iransk cyberoperasjonspuslespill. Kampanjen deler kjennetegn med aktiviteter knyttet til Black Shadow, en enhet anklaget av Israel National Cyber Directorate og antas å operere under Irans departement for etterretning og sikkerhet (MOIS). Deres mål spenner over en rekke sektorer i Israel, inkludert:
- Regjering og forsvar
- Helsevesen og finans
- Teknologi og kommunikasjon
En annen aktør, UNC3313, tilknyttet MuddyWater- gruppen, har drevet spyd-phishing-kampanjer siden 2022 og er kjent for å bruke legitime fjernovervåkingsverktøy for å opprettholde stealth og vedvarende tilgang. I mellomtiden har UNC1549 beveget seg mot skybasert infrastruktur for bedre å blande seg inn i bedriftsmiljøer og unngå gjenkjenning.
Masterminds of Manipulation: APT42 and Beyond
APT42 , også kjent som Charming Kitten, er kjent for sine sofistikerte sosiale ingeniørteknikker. Denne gruppen har distribuert falske påloggingssider som etterligner store plattformer som Google, Microsoft og Yahoo! å høste legitimasjon. De har brukt plattformer som Google Sites og Dropbox for å lede ofre til disse ondsinnede sidene, og forsterke bedraget deres.
Dessuten har APT34 (OilRig) brukt tilpassede bakdører som DODGYLAFFA og SPAREPRIZE i angrep på irakiske regjeringssystemer. Totalt har cybersikkerhetseksperter identifisert over 20 unike malware-familier utviklet eller brukt av iranske aktører på tvers av ulike cyberoperasjoner i Midtøsten i 2024.
Konklusjon: En vedvarende og utviklende trussel
Iranske cyberaktører har vist en bemerkelsesverdig evolusjon i taktikk, og kombinerer psykologisk manipulasjon med teknisk sofistikering. Gjennom GUIer, legitime verktøy og skytjenester foredler de sin tilnærming til å opprettholde tilgang og unndra deteksjon, noe som signaliserer en kontinuerlig utfordring for regional og global cybersikkerhetsinnsats.
