Tylne wejście MURKYTOUR
W październiku 2024 r. aktor zagrożeń powiązany z Iranem, UNC2428, rozpoczął kampanię cybernetycznego szpiegostwa skierowaną przeciwko obywatelom Izraela. Podszywając się pod rekruterów z izraelskiego wykonawcy zbrojeniowego Rafael, grupa wykorzystała schemat inżynierii społecznej związany z pracą, aby zwabić ofiary. Gdy osoby wykazały zainteresowanie, były przekierowywane na fałszywą stronę internetową imitującą Rafael, gdzie były proszone o pobranie narzędzia aplikacji o nazwie „RafaelConnect.exe”.
Spis treści
Od zainteresowania do włamania: łańcuch dostarczania złośliwego oprogramowania
Pobrane narzędzie było w rzeczywistości instalatorem znanym jako LONEFLEET. Zawierał graficzny interfejs użytkownika (GUI) zaprojektowany tak, aby wyglądał jak legalny portal aplikacji o pracę, żądający danych osobowych i przesłania CV. Ten pozornie nieszkodliwy interfejs ukrywał szkodliwe intencje. Po przesłaniu danych, tylne wejście o nazwie MURKYTOUR zostało wdrożone w tle za pośrednictwem programu uruchamiającego o nazwie LEAFPILE, przyznając atakującym stały dostęp do zainfekowanego systemu. To podejście podkreśla strategiczne wykorzystanie przez aktorów zagrożeń interfejsów graficznych (GUI) w celu ukrycia wykonywania złośliwego oprogramowania jako nieszkodliwej aktywności.
Więcej niż jeden gracz: rozszerzający się krajobraz irańskich zagrożeń cybernetycznych
UNC2428 to tylko jeden element szerszej układanki irańskich cyberoperacji. Kampania ma cechy wspólne z działaniami powiązanymi z Black Shadow, podmiotem oskarżonym przez Israel National Cyber Directorate i uważanym za działający pod irańskim Ministerstwem Wywiadu i Bezpieczeństwa (MOIS). Ich cele obejmują liczne sektory w Izraelu, w tym:
- Rząd i obrona
- Opieka zdrowotna i finanse
- Technologia i komunikacja
Inny aktor, UNC3313, powiązany z grupą MuddyWater , prowadzi kampanie spear-phishing od 2022 r. i jest znany z używania legalnych narzędzi do zdalnego monitorowania w celu utrzymania ukrycia i trwałego dostępu. Tymczasem UNC1549 przeszedł na infrastrukturę opartą na chmurze, aby lepiej wtopić się w środowiska korporacyjne i uniknąć wykrycia.
Mózgi manipulacji: APT42 i dalej
APT42 , znany również jako Charming Kitten, jest znany ze swoich wyrafinowanych technik inżynierii społecznej. Ta grupa wdrożyła fałszywe strony logowania podszywające się pod główne platformy, takie jak Google, Microsoft i Yahoo!, aby zbierać dane uwierzytelniające. Wykorzystali platformy, takie jak Google Sites i Dropbox, aby kierować ofiary na te złośliwe strony, wzmacniając swoje oszustwo.
Ponadto APT34 (OilRig) wykorzystał niestandardowe backdoory, takie jak DODGYLAFFA i SPAREPRIZE, w atakach na systemy rządowe Iraku. Łącznie eksperci ds. cyberbezpieczeństwa zidentyfikowali ponad 20 unikalnych rodzin malware opracowanych lub używanych przez irańskich aktorów w różnych operacjach cybernetycznych na Bliskim Wschodzie w 2024 r.
Wnioski: Trwałe i ewoluujące zagrożenie
Irańscy cyberaktorzy wykazali się znaczącą ewolucją taktyk, łącząc manipulację psychologiczną z wyrafinowaniem technicznym. Poprzez GUI, legalne narzędzia i usługi w chmurze udoskonalają swoje podejście do utrzymywania dostępu i unikania wykrycia, sygnalizując ciągłe wyzwanie dla regionalnych i globalnych wysiłków w zakresie cyberbezpieczeństwa.
