MURKYTOUR Backdoor
V októbri 2024 spustila hrozba napojená na Irán, UNC2428, kybernetickú špionážnu kampaň zameranú na izraelských jednotlivcov. Skupina sa vydávala za náborárov od izraelského dodávateľa obrany Rafaela a na prilákanie obetí použila schému sociálneho inžinierstva na tému práce. Keď jednotlivci prejavili záujem, boli presmerovaní na podvodnú webovú stránku napodobňujúcu Rafaela, kde boli vyzvaní, aby si stiahli aplikačný nástroj s názvom „RafaelConnect.exe“.
Obsah
Od záujmu k narušeniu: reťazec doručovania malvéru
Stiahnutý nástroj bol v skutočnosti inštalátor známy ako LONEFLEET. Vyznačoval sa grafickým používateľským rozhraním (GUI) navrhnutým tak, aby vyzeral ako legitímny portál so žiadosťou o zamestnanie, ktorý vyžaduje osobné údaje a nahranie životopisu. Toto zdanlivo neškodné rozhranie skrývalo škodlivé úmysly. Po odoslaní údajov bolo na pozadí ticho nasadené zadné vrátka s názvom MURKYTOUR prostredníctvom spúšťača s názvom LEAFPILE, ktorý útočníkom umožnil nepretržitý prístup k infikovanému systému. Tento prístup zdôrazňuje strategické využitie GUI aktérmi hrozieb na maskovanie spúšťania malvéru ako neškodnej aktivity.
Viac ako jeden hráč: Rozširujúca sa krajina kybernetických hrozieb v Iráne
UNC2428 je len jedným kúskom širšej skladačky iránskych kybernetických operácií. Kampaň zdieľa charakteristiky s aktivitami spojenými s Black Shadow, subjektom obvineným Izraelským národným kybernetickým riaditeľstvom, o ktorom sa predpokladá, že pôsobí pod iránskym ministerstvom pre spravodajstvo a bezpečnosť (MOIS). Ich ciele sa týkajú mnohých sektorov v Izraeli, vrátane:
- Vláda a obrana
- Zdravotníctvo a financie
- Technológia a komunikácia
Ďalší aktér, UNC3313, spojený so skupinou MuddyWater , vedie kampane spear-phishing od roku 2022 a je známy používaním legitímnych nástrojov vzdialeného monitorovania na udržanie utajeného a trvalého prístupu. Medzitým UNC1549 prešiel na cloudovú infraštruktúru, aby sa lepšie začlenil do podnikového prostredia a zabránil detekcii.
Masterminds of Manipulation: APT42 and Beyond
APT42 , tiež známy ako Charming Kitten, je známy svojimi sofistikovanými technikami sociálneho inžinierstva. Táto skupina nasadila falošné prihlasovacie stránky vydávajúce sa za hlavné platformy ako Google, Microsoft a Yahoo! zbierať poverenia. Použili platformy ako Google Sites a Dropbox, aby priviedli obete na tieto škodlivé stránky, čím zvýšili ich podvod.
Okrem toho APT34 (OilRig) využil pri útokoch na iracké vládne systémy vlastné zadné vrátka ako DODGYLAFFA a SPAREPRIZE. Celkovo odborníci na kybernetickú bezpečnosť identifikovali viac ako 20 jedinečných rodín malvéru vyvinutých alebo používaných iránskymi aktérmi v rôznych kybernetických operáciách na Blízkom východe v roku 2024.
Záver: Trvalá a vyvíjajúca sa hrozba
Iránski kybernetickí aktéri preukázali pozoruhodný vývoj v taktike, ktorý kombinuje psychologickú manipuláciu s technickou vyspelosťou. Prostredníctvom GUI, legitímnych nástrojov a cloudových služieb zdokonaľujú svoj prístup k zachovaniu prístupu a vyhýbaniu sa detekcii, čo signalizuje pokračujúcu výzvu pre regionálne a globálne snahy o kybernetickú bezpečnosť.
