MURKYTOUR Ușă din spate
În octombrie 2024, un actor de amenințare aliniat cu Iranul, UNC2428, a lansat o campanie de spionaj cibernetic care vizează indivizi israelieni. Mascarată ca recrutori de la contractantul israelian de apărare Rafael, grupul a folosit o schemă de inginerie socială cu tematică pentru a atrage victimele. Odată ce indivizii și-au arătat interesul, au fost redirecționați către un site web fraudulos care îl imita pe Rafael, unde li s-a cerut să descarce un instrument de aplicație numit „RafaelConnect.exe”.
Cuprins
De la interes la intruziune: lanțul de livrare a programelor malware
Instrumentul descărcat a fost de fapt un program de instalare cunoscut sub numele de LONEFLEET. Acesta prezenta o interfață grafică cu utilizatorul (GUI) concepută pentru a arăta ca un portal legitim pentru cererile de angajare, solicitând detalii personale și încărcarea unui CV. Această interfață aparent inofensivă a ascuns intenția dăunătoare. La trimiterea datelor, o ușă din spate numită MURKYTOUR a fost instalată în tăcere în fundal printr-un lansator numit LEAFPILE, oferind atacatorilor acces continuu la sistemul infectat. Această abordare evidențiază utilizarea strategică a interfețelor grafice de către actorii amenințărilor pentru a deghiza execuția malware-ului ca activitate benignă.
Mai mult de un jucător: peisajul amenințărilor cibernetice iraniene în expansiune
UNC2428 este doar o piesă dintr-un puzzle mai larg de operațiuni cibernetice iraniene. Campania împărtășește caracteristici cu activitățile legate de Black Shadow, o entitate acuzată de Direcția Națională Cibernetică a Israelului și despre care se crede că funcționează în subordinea Ministerului de Informații și Securitate al Iranului (MOIS). Țintele lor acoperă numeroase sectoare din Israel, inclusiv:
- Guvern și apărare
- Asistență medicală și finanțe
- Tehnologie și comunicații
Un alt actor, UNC3313, asociat cu grupul MuddyWater , a desfășurat campanii de spear-phishing din 2022 și este cunoscut pentru utilizarea instrumentelor legitime de monitorizare la distanță pentru a menține accesul ascuns și persistent. Între timp, UNC1549 s-a îndreptat către infrastructura bazată pe cloud pentru a se integra mai bine în mediile de întreprindere și pentru a evita detectarea.
Mintea manipulării: APT42 și dincolo
APT42 , cunoscut și sub numele de Pisicuță fermecătoare, este renumit pentru tehnicile sale sofisticate de inginerie socială. Acest grup a desfășurat pagini de conectare false care uzurpă identitatea unor platforme majore precum Google, Microsoft și Yahoo! pentru a culege acreditările. Au folosit platforme precum Google Sites și Dropbox pentru a canaliza victimele către aceste pagini rău intenționate, sporindu-le înșelăciunea.
Mai mult, APT34 (OilRig) a folosit uși din spate personalizate, cum ar fi DODGYLAFFA și SPAREPRIZE, în atacurile asupra sistemelor guvernamentale irakiene. În total, experții în securitate cibernetică au identificat peste 20 de familii unice de malware dezvoltate sau utilizate de actori iranieni în diferite operațiuni cibernetice din Orientul Mijlociu în 2024.
Concluzie: o amenințare persistentă și în evoluție
Actorii cibernetici iranieni au demonstrat o evoluție notabilă în tactică, combinând manipularea psihologică cu sofisticarea tehnică. Prin intermediul interfețelor grafice, instrumentelor legitime și serviciilor cloud, aceștia își perfecționează abordarea de a menține accesul și de a evita detectarea, semnalând o provocare continuă pentru eforturile regionale și globale de securitate cibernetică.
