МУРКИТОУР Бацкдоор
У октобру 2024., актер претње повезан са Ираном, УНЦ2428, покренуо је кампању сајбер шпијунаже усмерену на израелске појединце. Маскирајући се у регруте израелског одбрамбеног извођача Рафаела, група је користила шему социјалног инжењеринга са темом посла да намами жртве. Када су појединци показали интересовање, били су преусмерени на лажну веб локацију која је имитирала Рафаела, где су од њих затражили да преузму алатку за апликацију под називом „РафаелЦоннецт.еке“.
Преглед садржаја
Од интересовања до упада: ланац испоруке злонамерног софтвера
Преузети алат је заправо био инсталатер познат као ЛОНЕФЛЕЕТ. Имао је графички кориснички интерфејс (ГУИ) дизајниран да изгледа као легитимни портал за пријаву за посао, који захтева личне податке и отпремање животописа. Овај наизглед безопасан интерфејс скривао је штетну намеру. Након слања података, бацкдоор под називом МУРКИТОУР је тихо распоређен у позадини преко покретача по имену ЛЕАФПИЛЕ, омогућавајући нападачима стални приступ зараженом систему. Овај приступ наглашава стратешку употребу ГУИ-ја од стране актера претњи да прикрију извршење злонамерног софтвера као бенигну активност.
Више од једног играча: ширење иранске сајбер претње
УНЦ2428 је само један део шире слагалице иранских сајбер операција. Кампања дели карактеристике са активностима повезаним са Црном сенком, ентитетом за кога се оптужује Израелска национална сајбер дирекција и за који се верује да делује под иранским Министарством обавештајних послова и безбедности (МОИС). Њихови циљеви обухватају бројне секторе у Израелу, укључујући:
- Влада и одбрана
- Здравство и финансије
- Технологија и комуникације
Други актер, УНЦ3313, повезан са групом МуддиВатер , водио је кампање крађе идентитета од 2022. године и познат је по томе што користи легитимне алате за даљинско праћење како би одржао прикривени и упорни приступ. У међувремену, УНЦ1549 се померио ка инфраструктури заснованој на облаку како би се боље уклопио у окружења предузећа и избегао откривање.
Мастерминдс оф Манипулатионс: АПТ42 анд Беионд
АПТ42 , такође познат као Шармантно маче, познат је по својим софистицираним техникама друштвеног инжењеринга. Ова група је применила лажне странице за пријављивање које се имитирају као главне платформе као што су Гоогле, Мицрософт и Иахоо! да бере акредитиве. Користили су платформе као што су Гоогле Ситес и Дропбок да усмере жртве на ове злонамерне странице, повећавајући њихову превару.
Штавише, АПТ34 (ОилРиг) је користио прилагођена позадинска врата као што су ДОДГИЛАФФА и СПАРЕПРИЗЕ у нападима на системе ирачке владе. Укупно, стручњаци за сајбер безбедност идентификовали су преко 20 јединствених породица малвера које су развили или користили ирански актери у разним сајбер операцијама на Блиском истоку 2024.
Закључак: Упорна претња која се развија
Ирански сајбер актери показали су значајну еволуцију у тактици, комбинујући психолошку манипулацију са техничком софистицираношћу. Кроз ГУИ, легитимне алате и услуге у облаку, они унапређују свој приступ одржавању приступа и избегавању откривања, сигнализирајући стални изазов за регионалне и глобалне напоре у области сајбер безбедности.
