MURKYTOUR Bakdörr
I oktober 2024 lanserade en hotaktör i linje med Iran, UNC2428, en cyberspionagekampanj riktad mot israeliska individer. Gruppen maskerade sig som rekryterare från den israeliska försvarsentreprenören Rafael och använde ett socialt ingenjörsprogram med jobbtema för att locka offer. När individer visade intresse omdirigerades de till en bedräglig webbplats som imiterade Rafael, där de uppmanades att ladda ner ett applikationsverktyg med namnet "RafaelConnect.exe".
Innehållsförteckning
Från intresse till intrång: Leveranskedjan för skadlig programvara
Det nedladdade verktyget var faktiskt ett installationsprogram känt som LONEFLEET. Den innehöll ett grafiskt användargränssnitt (GUI) utformat för att se ut som en legitim jobbansökningsportal, som begärde personliga uppgifter och en uppladdning av CV. Detta till synes harmlösa gränssnitt dolde skadliga avsikter. Vid inlämning av data distribuerades en bakdörr som heter MURKYTOUR tyst i bakgrunden via en bärraket som heter LEAFPILE, vilket gav angripare kontinuerlig åtkomst till det infekterade systemet. Detta tillvägagångssätt belyser hotaktörernas strategiska användning av grafiska användargränssnitt för att dölja utförande av skadlig programvara som godartad aktivitet.
Mer än en spelare: The Expanding Iranian Cyber Threat Landscape
UNC2428 är bara en del av ett bredare iranskt cyberoperationspussel. Kampanjen delar kännetecken med aktiviteter kopplade till Black Shadow, en enhet som anklagas av Israel National Cyber Directorate och som tros verka under Irans underrättelse- och säkerhetsministerium (MOIS). Deras mål spänner över många sektorer i Israel, inklusive:
- Regering och försvar
- Sjukvård och ekonomi
- Teknik och kommunikation
En annan aktör, UNC3313, associerad med MuddyWater -gruppen, har drivit spjutfiskekampanjer sedan 2022 och är känd för att använda legitima fjärrövervakningsverktyg för att upprätthålla smyg och beständig åtkomst. Samtidigt har UNC1549 gått mot molnbaserad infrastruktur för att bättre smälta in i företagsmiljöer och undvika upptäckt.
Masterminds of Manipulation: APT42 and Beyond
APT42 , även känd som Charming Kitten, är känd för sina sofistikerade sociala ingenjörstekniker. Denna grupp har distribuerat falska inloggningssidor som imiterar stora plattformar som Google, Microsoft och Yahoo! att skörda meriter. De har använt plattformar som Google Sites och Dropbox för att leda offer till dessa skadliga sidor, vilket förstärkt deras bedrägeri.
Dessutom har APT34 (OilRig) använt anpassade bakdörrar som DODGYLAFFA och SPAREPRIZE i attacker mot irakiska regeringssystem. Totalt har cybersäkerhetsexperter identifierat över 20 unika skadliga programfamiljer som utvecklats eller använts av iranska aktörer i olika cyberoperationer i Mellanöstern under 2024.
Slutsats: Ett ihållande och utvecklande hot
Iranska cyberaktörer har visat en anmärkningsvärd utveckling i taktik, och kombinerar psykologisk manipulation med teknisk sofistikering. Genom grafiska användargränssnitt, legitima verktyg och molntjänster förfinar de sitt tillvägagångssätt för att bibehålla åtkomst och undvika upptäckt, vilket signalerar en fortsatt utmaning för regionala och globala cybersäkerhetsinsatser.
