MURKYTOUR Backdoor

ในเดือนตุลาคม 2024 ผู้ก่ออาชญากรรมด้านภัยคุกคามที่ร่วมมือกับอิหร่านอย่าง UNC2428 ได้เปิดแคมเปญจารกรรมทางไซเบอร์ที่กำหนดเป้าหมายบุคคลชาวอิสราเอล โดยปลอมตัวเป็นผู้คัดเลือกบุคลากรจากบริษัทรับเหมาทางการป้องกันประเทศของอิสราเอลที่ชื่อราฟาเอล โดยใช้กลวิธีทางสังคมที่เกี่ยวข้องกับงานเพื่อล่อเหยื่อ เมื่อบุคคลเหล่านี้แสดงความสนใจ พวกเขาจะถูกส่งต่อไปยังเว็บไซต์หลอกลวงที่เลียนแบบราฟาเอล ซึ่งพวกเขาได้รับแจ้งให้ดาวน์โหลดเครื่องมือแอปพลิเคชันที่มีชื่อว่า 'RafaelConnect.exe'

จากความสนใจสู่การบุกรุก: ห่วงโซ่การส่งมอบมัลแวร์

เครื่องมือที่ดาวน์โหลดมานั้นเป็นโปรแกรมติดตั้งที่รู้จักกันในชื่อ LONEFLEET ซึ่งมีอินเทอร์เฟซผู้ใช้แบบกราฟิก (GUI) ที่ออกแบบมาให้ดูเหมือนพอร์ทัลสมัครงานที่ถูกกฎหมาย โดยจะขอรายละเอียดส่วนตัวและอัปโหลดประวัติย่อ อินเทอร์เฟซที่ดูไม่เป็นอันตรายนี้ซ่อนเจตนาที่เป็นอันตรายเอาไว้ เมื่อส่งข้อมูลไปแล้ว แบ็กดอร์ที่เรียกว่า MURKYTOUR จะถูกใช้งานอย่างเงียบๆ ในเบื้องหลังผ่านตัวเรียกใช้งานที่ชื่อ LEAFPILE ทำให้ผู้โจมตีสามารถเข้าถึงระบบที่ติดไวรัสได้อย่างต่อเนื่อง วิธีนี้เน้นให้เห็นถึงการใช้ GUI เชิงกลยุทธ์ของผู้ก่อภัยคุกคามเพื่อปกปิดการกระทำของมัลแวร์ว่าเป็นกิจกรรมที่ไม่เป็นอันตราย

ผู้เล่นมากกว่าหนึ่งคน: ภูมิทัศน์ภัยคุกคามทางไซเบอร์ของอิหร่านที่กำลังขยายตัว

UNC2428 เป็นเพียงส่วนหนึ่งของปริศนาปฏิบัติการไซเบอร์ของอิหร่านที่กว้างขวางยิ่งขึ้น แคมเปญนี้มีลักษณะคล้ายคลึงกับกิจกรรมที่เกี่ยวข้องกับ Black Shadow ซึ่งเป็นองค์กรที่ถูกกรมไซเบอร์แห่งชาติของอิสราเอลกล่าวหาและเชื่อว่าดำเนินการภายใต้กระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS) โดยมีเป้าหมายครอบคลุมหลายภาคส่วนในอิสราเอล รวมถึง:

• รัฐบาลและการป้องกันประเทศ
• การดูแลสุขภาพและการเงิน
• เทคโนโลยีและการสื่อสาร

UNC3313 ซึ่งเป็นผู้ดำเนินการอีกรายหนึ่งที่เกี่ยวข้องกับกลุ่ม MuddyWater ได้ดำเนินการรณรงค์ฟิชชิ่งแบบเจาะจงตั้งแต่ปี 2022 และเป็นที่รู้จักในการใช้เครื่องมือตรวจสอบระยะไกลที่ถูกต้องตามกฎหมายเพื่อรักษาการเข้าถึงอย่างลับๆ และต่อเนื่อง ในขณะเดียวกัน UNC1549 ได้เปลี่ยนมาใช้โครงสร้างพื้นฐานบนคลาวด์เพื่อให้กลมกลืนกับสภาพแวดล้อมขององค์กรได้ดีขึ้นและหลีกเลี่ยงการตรวจจับ

ผู้วางแผนหลักด้านการจัดการ: APT42 และเหนือกว่า

APT42 หรือที่รู้จักกันในชื่อ Charming Kitten มีชื่อเสียงในด้านเทคนิคทางวิศวกรรมสังคมที่ซับซ้อน กลุ่มนี้ได้สร้างหน้าเข้าสู่ระบบปลอมที่แอบอ้างเป็นแพลตฟอร์มหลัก เช่น Google, Microsoft และ Yahoo! เพื่อรวบรวมข้อมูลประจำตัว พวกเขาใช้แพลตฟอร์มเช่น Google Sites และ Dropbox เพื่อหลอกล่อเหยื่อให้เข้าสู่หน้าที่เป็นอันตรายเหล่านี้ ซึ่งทำให้การหลอกลวงของพวกเขารุนแรงยิ่งขึ้น

นอกจากนี้ APT34 (OilRig) ยังใช้แบ็กดอร์แบบกำหนดเอง เช่น DODGYLAFFA และ SPAREPRIZE ในการโจมตีระบบของรัฐบาลอิรัก โดยรวมแล้ว ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ระบุตระกูลมัลแวร์เฉพาะมากกว่า 20 ตระกูลที่พัฒนาหรือใช้โดยผู้ก่อการร้ายชาวอิหร่านในปฏิบัติการทางไซเบอร์ต่างๆ ในตะวันออกกลางในปี 2024

บทสรุป: ภัยคุกคามที่คงอยู่และเปลี่ยนแปลงตลอดเวลา

ผู้กระทำความผิดทางไซเบอร์ของอิหร่านได้แสดงให้เห็นถึงวิวัฒนาการที่โดดเด่นในกลวิธีต่างๆ โดยผสมผสานการจัดการทางจิตวิทยาเข้ากับความซับซ้อนทางเทคนิค ผ่าน GUI เครื่องมือที่ถูกต้องตามกฎหมาย และบริการคลาวด์ พวกเขากำลังปรับปรุงแนวทางในการรักษาการเข้าถึงและหลบเลี่ยงการตรวจจับ ซึ่งเป็นสัญญาณของความท้าทายอย่างต่อเนื่องสำหรับความพยายามด้านความปลอดภัยทางไซเบอร์ในระดับภูมิภาคและระดับโลก