MURKYTOUR Backdoor
Oktobra 2024 je akter grožnje, povezan z Iranom, UNC2428, sprožil kibernetsko vohunsko kampanjo, usmerjeno proti izraelskim posameznikom. Skupina, ki se je predstavljala kot naborniki izraelskega obrambnega izvajalca Rafael, je za privabljanje žrtev uporabljala shemo socialnega inženiringa na temo službe. Ko so posamezniki pokazali zanimanje, so bili preusmerjeni na goljufivo spletno stran, ki je posnemala Rafaela, kjer so bili pozvani, da prenesejo aplikacijsko orodje z imenom 'RafaelConnect.exe.'
Kazalo
Od interesa do vdora: Dobavna veriga zlonamerne programske opreme
Preneseno orodje je bilo pravzaprav namestitveni program, znan kot LONEFLEET. Vseboval je grafični uporabniški vmesnik (GUI), zasnovan tako, da je bil videti kot zakonit portal za prijavo na delo, ki zahteva osebne podatke in nalaganje življenjepisa. Ta na videz neškodljiv vmesnik je skrival škodljiv namen. Po predložitvi podatkov so bila stranska vrata, imenovana MURKYTOUR, tiho nameščena v ozadju prek zaganjalnika z imenom LEAFPILE, ki je napadalcem omogočil stalen dostop do okuženega sistema. Ta pristop poudarja strateško uporabo GUI s strani akterjev groženj za prikrivanje izvajanja zlonamerne programske opreme kot benigne dejavnosti.
Več kot en igralec: vse večja iranska kibernetska grožnja
UNC2428 je le delček širše sestavljanke iranskih kibernetskih operacij. Kampanja ima enake značilnosti kot dejavnosti, povezane s podjetjem Black Shadow, ki ga je obtožil izraelski nacionalni kibernetski direktorat in naj bi deloval pod iranskim ministrstvom za obveščevalno in varnostno dejavnost (MOIS). Njihovi cilji zajemajo številne sektorje v Izraelu, vključno z:
- Vlada in obramba
- Zdravstvo in finance
- Tehnologija in komunikacije
Drugi akter, UNC3313, povezan s skupino MuddyWater , izvaja kampanje lažnega predstavljanja od leta 2022 in je znan po uporabi zakonitih orodij za nadzor na daljavo za ohranjanje prikritega in trajnega dostopa. Medtem se je UNC1549 premaknil k infrastrukturi v oblaku, da bi se bolje zlil s poslovnimi okolji in preprečil zaznavanje.
Mojstri manipulacije: APT42 in naprej
APT42 , znan tudi kot Charming Kitten, je znan po svojih prefinjenih tehnikah socialnega inženiringa. Ta skupina je postavila lažne strani za prijavo, ki se predstavljajo za glavne platforme, kot so Google, Microsoft in Yahoo! za zbiranje poverilnic. Za usmerjanje žrtev na te zlonamerne strani so uporabili platforme, kot sta Google Sites in Dropbox, s čimer so okrepili njihovo zavajanje.
Poleg tega je APT34 (OilRig) pri napadih na iraške vladne sisteme uporabil stranska vrata po meri, kot sta DODGYLAFFA in SPAREPRIZE. Strokovnjaki za kibernetsko varnost so identificirali več kot 20 edinstvenih družin zlonamerne programske opreme, ki so jih leta 2024 razvili ali uporabili iranski akterji v različnih kibernetskih operacijah na Bližnjem vzhodu.
Zaključek: Vztrajna in razvijajoča se grožnja
Iranski kibernetski akterji so pokazali opazen razvoj taktike, ki združuje psihološko manipulacijo s tehnično sofisticiranostjo. Z grafičnimi uporabniškimi vmesniki, zakonitimi orodji in storitvami v oblaku izpopolnjujejo svoj pristop k ohranjanju dostopa in izogibanju zaznavanju, kar nakazuje stalen izziv za regionalna in globalna prizadevanja za kibernetsko varnost.
