MURKYTOUR Backdoor
Në tetor 2024, një aktor kërcënimi i lidhur me Iranin, UNC2428, nisi një fushatë spiunazhi kibernetik që synonte individët izraelitë. Duke u maskuar si rekrutues nga kontraktori izraelit i mbrojtjes Rafael, grupi përdori një skemë inxhinierike sociale me temë pune për të joshur viktimat. Pasi individët treguan interes, ata u ridrejtuan në një faqe interneti mashtruese që imitonte Rafaelin, ku u nxitën të shkarkonin një mjet aplikacioni të quajtur "RafaelConnect.exe".
Tabela e Përmbajtjes
Nga interesi në ndërhyrje: Zinxhiri i dorëzimit të malware
Mjeti i shkarkuar ishte në fakt një instalues i njohur si LONEFLEET. Ai paraqiste një ndërfaqe grafike të përdoruesit (GUI) të krijuar për t'u dukur si një portal legjitim aplikimi për punë, duke kërkuar detaje personale dhe një ngarkim të rezymesë. Kjo ndërfaqe në dukje e padëmshme fshihte qëllimin e dëmshëm. Pas dorëzimit të të dhënave, një derë e pasme e quajtur MURKYTOUR u vendos në heshtje në sfond nëpërmjet një lëshuesi të quajtur LEAFPILE, duke u dhënë sulmuesve akses të vazhdueshëm në sistemin e infektuar. Kjo qasje thekson përdorimin strategjik të GUI-ve nga aktorët e kërcënimit për të maskuar ekzekutimin e malware si aktivitet të mirë.
Më shumë se një lojtar: Peizazhi në zgjerim i kërcënimit kibernetik iranian
UNC2428 është vetëm një pjesë e një enigme më të gjerë të operacioneve kibernetike iraniane. Fushata ndan karakteristikat me aktivitetet e lidhura me Black Shadow, një ent i akuzuar nga Drejtoria Kombëtare Kibernetike e Izraelit dhe që besohet se operon nën Ministrinë e Inteligjencës dhe Sigurisë së Iranit (MOIS). Objektivat e tyre përfshijnë shumë sektorë në Izrael, duke përfshirë:
- Qeveria dhe mbrojtja
- Shëndetësia dhe financat
- Teknologjia dhe komunikimi
Një aktor tjetër, UNC3313, i lidhur me grupin MuddyWater , ka drejtuar fushata spear-phishing që nga viti 2022 dhe është i njohur për përdorimin e mjeteve legjitime të monitorimit në distancë për të ruajtur fshehtësinë dhe aksesin e vazhdueshëm. Ndërkohë, UNC1549 ka lëvizur drejt infrastrukturës së bazuar në cloud për t'u përzier më mirë në mjediset e ndërmarrjeve dhe për të shmangur zbulimin.
Organet e Manipulimit: APT42 dhe Përtej
APT42 , i njohur gjithashtu si Kotele Nurëse, është e njohur për teknikat e saj të sofistikuara të inxhinierisë sociale. Ky grup ka vendosur faqe të rreme hyrjeje që imitojnë platformat kryesore si Google, Microsoft dhe Yahoo! për të korrur kredencialet. Ata kanë përdorur platforma si Google Sites dhe Dropbox për të kanalizuar viktimat në këto faqe me qëllim të keq, duke rritur mashtrimin e tyre.
Për më tepër, APT34 (OilRig) ka përdorur dyer të pasme me porosi si DODGYLAFFA dhe SPAREPRIZE në sulmet ndaj sistemeve të qeverisë irakiane. Në total, ekspertët e sigurisë kibernetike kanë identifikuar mbi 20 familje unike malware të zhvilluara ose të përdorura nga aktorë iranianë nëpër operacione të ndryshme kibernetike në Lindjen e Mesme në vitin 2024.
Përfundim: Një kërcënim i vazhdueshëm dhe në zhvillim
Aktorët kibernetikë iranianë kanë treguar një evolucion të dukshëm në taktika, duke kombinuar manipulimin psikologjik me sofistikimin teknik. Nëpërmjet GUI-ve, mjeteve legjitime dhe shërbimeve cloud, ata po përmirësojnë qasjen e tyre për të ruajtur aksesin dhe për të shmangur zbulimin, duke sinjalizuar një sfidë të vazhdueshme për përpjekjet rajonale dhe globale të sigurisë kibernetike.
