MURKYTOUR Бэкдор
В октябре 2024 года связанный с Ираном субъект угроз UNC2428 начал кампанию кибершпионажа, нацеленную на израильтян. Маскируясь под вербовщиков израильского оборонного подрядчика Rafael, группа использовала схему социальной инженерии на тему работы, чтобы заманить жертв. Как только люди проявляли интерес, их перенаправляли на мошеннический веб-сайт, имитирующий Rafael, где им предлагалось загрузить инструмент приложения под названием «RafaelConnect.exe».
Оглавление
От интереса к вторжению: цепочка доставки вредоносного ПО
Загруженный инструмент на самом деле был установщиком, известным как LONEFLEET. Он имел графический пользовательский интерфейс (GUI), разработанный так, чтобы выглядеть как легитимный портал для подачи заявлений на работу, запрашивающий личные данные и загрузку резюме. Этот, казалось бы, безобидный интерфейс скрывал вредоносные намерения. После отправки данных бэкдор под названием MURKYTOUR был развернут в фоновом режиме с помощью лаунчера под названием LEAFPILE, предоставляя злоумышленникам постоянный доступ к зараженной системе. Этот подход подчеркивает стратегическое использование злоумышленниками GUI для маскировки выполнения вредоносного ПО под безобидную деятельность.
Более одного игрока: расширяющийся ландшафт иранских киберугроз
UNC2428 — это всего лишь часть более обширной головоломки иранских киберопераций. Кампания имеет общие черты с деятельностью, связанной с Black Shadow, организацией, обвиняемой Национальным киберуправлением Израиля и, как полагают, действующей под руководством Министерства разведки и безопасности Ирана (MOIS). Их цели охватывают многочисленные секторы в Израиле, включая:
- Правительство и оборона
- Здравоохранение и финансы
- Технологии и коммуникации
Другой субъект, UNC3313, связанный с группой MuddyWater , проводил кампании целевого фишинга с 2022 года и известен тем, что использовал легитимные инструменты удаленного мониторинга для сохранения скрытности и постоянного доступа. Тем временем UNC1549 перешел на облачную инфраструктуру, чтобы лучше вписаться в корпоративную среду и избежать обнаружения.
Мастера манипуляции: APT42 и далее
APT42 , также известная как Charming Kitten, славится своими сложными методами социальной инженерии. Эта группа использовала поддельные страницы входа, выдавая себя за такие крупные платформы, как Google, Microsoft и Yahoo!, для сбора учетных данных. Они использовали такие платформы, как Google Sites и Dropbox, чтобы направлять жертв на эти вредоносные страницы, усиливая свой обман.
Более того, APT34 (OilRig) использовала специальные бэкдоры, такие как DODGYLAFFA и SPAREPRIZE, в атаках на иракские правительственные системы. В общей сложности эксперты по кибербезопасности выявили более 20 уникальных семейств вредоносных программ, разработанных или использованных иранскими субъектами в различных кибероперациях на Ближнем Востоке в 2024 году.
Заключение: постоянная и развивающаяся угроза
Иранские киберпреступники продемонстрировали заметную эволюцию в тактике, сочетая психологическую манипуляцию с технической изощренностью. С помощью графических интерфейсов, легитимных инструментов и облачных сервисов они совершенствуют свой подход к сохранению доступа и уклонению от обнаружения, что является постоянным вызовом для региональных и глобальных усилий по кибербезопасности.
