MURKYTOUR Backdoor
अक्टोबर २०२४ मा, इरानसँग मिलेर बनेको एक खतरा अभिनेता, UNC2428 ले इजरायली व्यक्तिहरूलाई लक्षित गर्दै साइबर जासुसी अभियान सुरु गर्यो। इजरायली रक्षा ठेकेदार राफेलबाट भर्तीकर्ताको रूपमा भेषमा रहेको यस समूहले पीडितहरूलाई लोभ्याउन रोजगार-थीम सामाजिक इन्जिनियरिङ योजना प्रयोग गर्यो। एक पटक व्यक्तिहरूले चासो देखाएपछि, उनीहरूलाई राफेलको नक्कल गर्ने धोखाधडी वेबसाइटमा रिडिरेक्ट गरियो, जहाँ उनीहरूलाई 'RafaelConnect.exe' नामक एप्लिकेसन उपकरण डाउनलोड गर्न प्रेरित गरियो।
सामग्रीको तालिका
रुचि देखि घुसपैठ सम्म: मालवेयर डेलिभरी चेन
डाउनलोड गरिएको उपकरण वास्तवमा LONEFLEET भनेर चिनिने स्थापनाकर्ता थियो। यसमा एक वैध जागिर आवेदन पोर्टल जस्तो देखिने गरी डिजाइन गरिएको ग्राफिकल प्रयोगकर्ता इन्टरफेस (GUI) थियो, जसले व्यक्तिगत विवरणहरू र रिजुमे अपलोड अनुरोध गर्दछ। यो हानिरहित देखिने इन्टरफेसले हानिकारक उद्देश्य लुकाएको थियो। डेटा पेश गरेपछि, MURKYTOUR भनिने ब्याकडोर LEAFPILE नामक लन्चर मार्फत पृष्ठभूमिमा चुपचाप तैनाथ गरिएको थियो, जसले आक्रमणकारीहरूलाई संक्रमित प्रणालीमा निरन्तर पहुँच प्रदान गर्यो। यो दृष्टिकोणले मालवेयर कार्यान्वयनलाई सौम्य गतिविधिको रूपमा लुकाउन GUI को खतरा अभिनेताहरूको रणनीतिक प्रयोगलाई हाइलाइट गर्दछ।
एकभन्दा बढी खेलाडी: विस्तार हुँदै गइरहेको इरानी साइबर खतरा परिदृश्य
UNC2428 भनेको इरानी साइबर अपरेशन पजलको एउटा अंश मात्र हो। यो अभियानले इजरायल राष्ट्रिय साइबर निर्देशनालयद्वारा आरोप लगाइएको र इरानको गुप्तचर तथा सुरक्षा मन्त्रालय (MOIS) अन्तर्गत सञ्चालन हुने विश्वास गरिएको संस्था ब्ल्याक स्याडोसँग सम्बन्धित गतिविधिहरूसँग सम्बन्धित विशेषताहरू साझा गर्दछ। तिनीहरूको लक्ष्य इजरायलका धेरै क्षेत्रहरू फैलिएका छन्, जसमा समावेश छन्:
- सरकार र रक्षा
- स्वास्थ्य सेवा र वित्त
- प्रविधि र सञ्चार
अर्को अभिनेता, UNC3313, जो MuddyWater समूहसँग सम्बन्धित छ, ले २०२२ देखि भाला-फिसिङ अभियानहरू चलाएको छ र चोरी र निरन्तर पहुँच कायम राख्न वैध रिमोट निगरानी उपकरणहरू प्रयोग गर्नका लागि परिचित छ। यसैबीच, UNC1549 ले उद्यम वातावरणमा राम्रोसँग मिसिन र पत्ता लगाउनबाट बच्न क्लाउड-आधारित पूर्वाधार तर्फ अघि बढेको छ।
हेरफेरका मास्टरमाइन्डहरू: APT42 र त्यसभन्दा बाहिर
APT42 , जसलाई चार्मिङ किटन पनि भनिन्छ, यसको परिष्कृत सामाजिक इन्जिनियरिङ प्रविधिहरूको लागि प्रसिद्ध छ। यो समूहले गुगल, माइक्रोसफ्ट र याहू जस्ता प्रमुख प्लेटफर्महरूको नक्कल गर्दै नक्कली लगइन पृष्ठहरू प्रयोग गरेको छ! प्रमाणहरू प्राप्त गर्न। तिनीहरूले गुगल साइटहरू र ड्रपबक्स जस्ता प्लेटफर्महरू प्रयोग गरेर पीडितहरूलाई यी दुर्भावनापूर्ण पृष्ठहरूमा फ्यान गरेका छन्, जसले गर्दा उनीहरूको छल बढेको छ।
यसबाहेक, APT34 (OilRig) ले इराकी सरकारी प्रणालीहरूमा आक्रमणहरूमा DODGYLAFFA र SPAREPRIZE जस्ता अनुकूलन ब्याकडोरहरू प्रयोग गरेको छ। कुल मिलाएर, साइबर सुरक्षा विज्ञहरूले २०२४ मा विभिन्न मध्य पूर्वी साइबर अपरेशनहरूमा इरानी अभिनेताहरूद्वारा विकसित वा प्रयोग गरिएका २० भन्दा बढी अद्वितीय मालवेयर परिवारहरू पहिचान गरेका छन्।
निष्कर्ष: एक निरन्तर र विकसित खतरा
इरानी साइबर अभिनेताहरूले रणनीतिमा उल्लेखनीय विकास देखाएका छन्, प्राविधिक परिष्कारसँग मनोवैज्ञानिक हेरफेरको संयोजन गर्दै। GUI, वैध उपकरणहरू, र क्लाउड सेवाहरू मार्फत, तिनीहरूले पहुँच कायम राख्न र पत्ता लगाउनबाट बच्न आफ्नो दृष्टिकोणलाई परिष्कृत गर्दैछन्, जसले क्षेत्रीय र विश्वव्यापी साइबर सुरक्षा प्रयासहरूको लागि निरन्तर चुनौतीको संकेत गर्दछ।
