MURKYTOUR Backdoor

அக்டோபர் 2024 இல், ஈரானுடன் இணைந்த ஒரு அச்சுறுத்தல் நடிகர், UNC2428, இஸ்ரேலிய தனிநபர்களை குறிவைத்து ஒரு சைபர் உளவு பிரச்சாரத்தைத் தொடங்கினார். இஸ்ரேலிய பாதுகாப்பு ஒப்பந்ததாரர் ரஃபேலின் ஆட்சேர்ப்பு செய்பவர்களாக மாறுவேடமிட்டு, பாதிக்கப்பட்டவர்களை கவர்ந்திழுக்க வேலை கருப்பொருள் சமூக பொறியியல் திட்டத்தைப் பயன்படுத்தினார். தனிநபர்கள் ஆர்வம் காட்டியவுடன், அவர்கள் ரஃபேலைப் பின்பற்றும் ஒரு மோசடி வலைத்தளத்திற்கு திருப்பி விடப்பட்டனர், அங்கு அவர்கள் 'RafaelConnect.exe' என்ற பயன்பாட்டுக் கருவியைப் பதிவிறக்கம் செய்யத் தூண்டப்பட்டனர்.

ஆர்வத்திலிருந்து ஊடுருவல் வரை: தீம்பொருள் விநியோகச் சங்கிலி

பதிவிறக்கம் செய்யப்பட்ட கருவி உண்மையில் LONEFLEET எனப்படும் ஒரு நிறுவி. இது ஒரு சட்டபூர்வமான வேலை விண்ணப்ப போர்ட்டலைப் போல தோற்றமளிக்கும் வகையில் வடிவமைக்கப்பட்ட ஒரு வரைகலை பயனர் இடைமுகத்தை (GUI) கொண்டிருந்தது, தனிப்பட்ட விவரங்கள் மற்றும் விண்ணப்பப் பதிவேற்றத்தைக் கோரியது. இந்த பாதிப்பில்லாத இடைமுகம் தீங்கு விளைவிக்கும் நோக்கத்தை மறைத்தது. தரவு சமர்ப்பித்தவுடன், MURKYTOUR எனப்படும் ஒரு பின்புற கதவு LEAFPILE என்ற லாஞ்சர் வழியாக பின்னணியில் அமைதியாகப் பயன்படுத்தப்பட்டது, இது தாக்குபவர்களுக்கு பாதிக்கப்பட்ட அமைப்பை தொடர்ந்து அணுக அனுமதித்தது. இந்த அணுகுமுறை, தீம்பொருள் செயல்படுத்தலை தீங்கற்ற செயலாக மறைக்க அச்சுறுத்தல் நடிகர்கள் GUI களைப் பயன்படுத்துவதை எடுத்துக்காட்டுகிறது.

ஒன்றுக்கும் மேற்பட்ட வீரர்கள்: விரிவடைந்து வரும் ஈரானிய சைபர் அச்சுறுத்தல் நிலப்பரப்பு

UNC2428 என்பது பரந்த ஈரானிய சைபர் செயல்பாட்டு புதிரின் ஒரு பகுதி மட்டுமே. இஸ்ரேல் தேசிய சைபர் இயக்குநரகத்தால் குற்றம் சாட்டப்பட்டு ஈரானின் புலனாய்வு மற்றும் பாதுகாப்பு அமைச்சகத்தின் (MOIS) கீழ் செயல்படுவதாக நம்பப்படும் பிளாக் ஷேடோவுடன் இணைக்கப்பட்ட செயல்பாடுகளுடன் இந்த பிரச்சாரம் பண்புகளைப் பகிர்ந்து கொள்கிறது. அவர்களின் இலக்குகள் இஸ்ரேலில் உள்ள பல துறைகளை உள்ளடக்கியது, அவற்றுள்:

• அரசு மற்றும் பாதுகாப்பு
• சுகாதாரம் மற்றும் நிதி
• தொழில்நுட்பம் மற்றும் தகவல் தொடர்பு

MuddyWater குழுமத்துடன் தொடர்புடைய மற்றொரு நடிகரான UNC3313, 2022 முதல் ஸ்பியர்-ஃபிஷிங் பிரச்சாரங்களை நடத்தி வருகிறார், மேலும் திருட்டுத்தனத்தையும் தொடர்ச்சியான அணுகலையும் பராமரிக்க முறையான தொலைதூர கண்காணிப்பு கருவிகளைப் பயன்படுத்துவதில் பெயர் பெற்றவர். இதற்கிடையில், UNC1549 நிறுவன சூழல்களில் சிறப்பாகக் கலந்து கண்டறிதலைத் தவிர்க்க கிளவுட் அடிப்படையிலான உள்கட்டமைப்பை நோக்கி நகர்ந்துள்ளது.

கையாளுதலின் சூத்திரதாரிகளான APT42 மற்றும் அதற்கு அப்பால்

APT42 , சார்மிங் கிட்டன் என்றும் அழைக்கப்படுகிறது, இது அதன் அதிநவீன சமூக பொறியியல் நுட்பங்களுக்கு பெயர் பெற்றது. இந்தக் குழு, கூகிள், மைக்ரோசாப்ட் மற்றும் யாகூ போன்ற முக்கிய தளங்களைப் போல போலியான உள்நுழைவு பக்கங்களைப் பயன்படுத்தி, சான்றுகளைப் பெறுகிறது. பாதிக்கப்பட்டவர்களை இந்த தீங்கிழைக்கும் பக்கங்களுக்குத் திருப்பி, அவர்களின் ஏமாற்றத்தை அதிகரிக்க, கூகிள் தளங்கள் மற்றும் டிராப்பாக்ஸ் போன்ற தளங்களைப் பயன்படுத்துகின்றனர்.

மேலும், APT34 (OilRig) ஈராக்கிய அரசாங்க அமைப்புகள் மீதான தாக்குதல்களில் DODGYLAFFA மற்றும் SPAREPRIZE போன்ற தனிப்பயன் பின்கதவுகளைப் பயன்படுத்தியுள்ளது. மொத்தத்தில், 2024 ஆம் ஆண்டில் பல்வேறு மத்திய கிழக்கு சைபர் செயல்பாடுகளில் ஈரானிய நடிகர்களால் உருவாக்கப்பட்ட அல்லது பயன்படுத்தப்பட்ட 20 க்கும் மேற்பட்ட தனித்துவமான தீம்பொருள் குடும்பங்களை சைபர் பாதுகாப்பு நிபுணர்கள் அடையாளம் கண்டுள்ளனர்.

முடிவு: ஒரு தொடர்ச்சியான மற்றும் வளர்ந்து வரும் அச்சுறுத்தல்

ஈரானிய சைபர் நடிகர்கள் தந்திரோபாயங்களில் குறிப்பிடத்தக்க பரிணாம வளர்ச்சியைக் காட்டியுள்ளனர், உளவியல் கையாளுதலை தொழில்நுட்ப நுட்பத்துடன் இணைத்துள்ளனர். GUIகள், முறையான கருவிகள் மற்றும் கிளவுட் சேவைகள் மூலம், அணுகலைப் பராமரிப்பதற்கும் கண்டறிதலைத் தவிர்ப்பதற்கும் அவர்கள் தங்கள் அணுகுமுறையைச் செம்மைப்படுத்துகிறார்கள், இது பிராந்திய மற்றும் உலகளாவிய சைபர் பாதுகாப்பு முயற்சிகளுக்கு தொடர்ச்சியான சவாலைக் குறிக்கிறது.