MURKYTOUR Achterdeur
In oktober 2024 lanceerde een aan Iran gelieerde cybercrimineel, UNC2428, een cyberespionagecampagne gericht op Israëlische burgers. De groep, die zich voordeed als recruiters van de Israëlische defensieaannemer Rafael, gebruikte een op werk gericht social engineering-systeem om slachtoffers te lokken. Zodra mensen interesse toonden, werden ze doorgestuurd naar een frauduleuze website die Rafael imiteerde, waar ze werden gevraagd een applicatie genaamd 'RafaelConnect.exe' te downloaden.
Inhoudsopgave
Van interesse naar inbraak: de malware-distributieketen
De gedownloade tool was in feite een installatieprogramma genaamd LONEFLEET. Het had een grafische gebruikersinterface (GUI) die eruitzag als een legitieme sollicitatieportal en die om persoonlijke gegevens en het uploaden van een cv vroeg. Deze ogenschijnlijk onschuldige interface verhulde schadelijke bedoelingen. Na het indienen van gegevens werd een backdoor genaamd MURKYTOUR stilletjes op de achtergrond geïnstalleerd via een launcher genaamd LEAFPILE, waardoor aanvallers continu toegang kregen tot het geïnfecteerde systeem. Deze aanpak benadrukt het strategische gebruik van GUI's door de aanvallers om malware-uitvoering te verhullen als onschuldige activiteit.
Meer dan één speler: het groeiende Iraanse cyberdreigingslandschap
UNC2428 is slechts één stukje van een bredere Iraanse cyberoperatiepuzzel. De campagne vertoont overeenkomsten met activiteiten die verband houden met Black Shadow, een entiteit die door het Israëlische Nationale Cyberdirectoraat wordt beschuldigd en vermoedelijk onder het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS) opereert. Hun doelwitten bestrijken tal van sectoren in Israël, waaronder:
- Overheid en defensie
- Gezondheidszorg en financiën
- Technologie en communicatie
Een andere actor, UNC3313, verbonden aan de MuddyWater -groep, voert sinds 2022 spearfishingcampagnes uit en staat bekend om het gebruik van legitieme tools voor externe monitoring om stealth en permanente toegang te behouden. Ondertussen is UNC1549 overgestapt op cloudgebaseerde infrastructuur om beter te integreren in bedrijfsomgevingen en detectie te voorkomen.
Meesters van manipulatie: APT42 en verder
APT42 , ook bekend als Charming Kitten, staat bekend om zijn geavanceerde social engineering-technieken. Deze groep heeft nep-inlogpagina's ingezet die zich voordoen als grote platforms zoals Google, Microsoft en Yahoo! om inloggegevens te verzamelen. Ze hebben platforms zoals Google Sites en Dropbox gebruikt om slachtoffers naar deze kwaadaardige pagina's te lokken, wat hun misleidende aanpak versterkt.
Bovendien heeft APT34 (OilRig) gebruikgemaakt van aangepaste backdoors zoals DODGYLAFFA en SPAREPRIZE bij aanvallen op Iraakse overheidssystemen. In totaal hebben cybersecurityexperts meer dan 20 unieke malwarefamilies geïdentificeerd die in 2024 door Iraanse actoren zijn ontwikkeld of gebruikt bij diverse cyberoperaties in het Midden-Oosten.
Conclusie: een aanhoudende en evoluerende bedreiging
Iraanse cyberactoren hebben een opmerkelijke evolutie in tactieken laten zien, waarbij ze psychologische manipulatie combineren met technische verfijning. Via grafische gebruikersinterfaces, legitieme tools en clouddiensten verfijnen ze hun aanpak om toegang te behouden en detectie te ontwijken, wat een voortdurende uitdaging vormt voor regionale en wereldwijde cybersecurity-inspanningen.
