MURKYTOUR Backdoor
Noong Oktubre 2024, isang banta na aktor na nakahanay sa Iran, ang UNC2428, ay naglunsad ng isang cyber espionage campaign na nagta-target sa mga indibidwal na Israeli. Nagpanggap bilang mga recruiter mula sa Israeli defense contractor na si Rafael, ang grupo ay gumamit ng isang social engineering scheme na may temang trabaho upang akitin ang mga biktima. Sa sandaling nagpakita ng interes ang mga indibidwal, na-redirect sila sa isang mapanlinlang na website na ginagaya si Rafael, kung saan sinenyasan silang mag-download ng tool sa application na pinangalanang 'RafaelConnect.exe.'
Talaan ng mga Nilalaman
Mula sa Interes hanggang sa Panghihimasok: Ang Malware Delivery Chain
Ang na-download na tool ay talagang isang installer na kilala bilang LONEFLEET. Itinampok nito ang isang graphical user interface (GUI) na idinisenyo upang magmukhang isang lehitimong portal ng aplikasyon sa trabaho, humihiling ng mga personal na detalye at isang pag-upload ng resume. Ang tila hindi nakakapinsalang interface na ito ay nagtago ng mapaminsalang layunin. Sa pagsusumite ng data, ang isang backdoor na tinatawag na MURKYTOUR ay tahimik na na-deploy sa background sa pamamagitan ng isang launcher na pinangalanang LEAFPILE, na nagbibigay sa mga umaatake ng patuloy na access sa nahawaang system. Itinatampok ng diskarteng ito ang madiskarteng paggamit ng mga GUI ng mga aktor sa pagbabanta upang ikubli ang pagpapatupad ng malware bilang benign na aktibidad.
Higit sa Isang Manlalaro: Ang Lumalawak na Iranian Cyber Threat Landscape
Ang UNC2428 ay isang piraso lamang ng isang mas malawak na Iranian cyber operations puzzle. Ang kampanya ay nagbabahagi ng mga katangian sa mga aktibidad na nauugnay sa Black Shadow, isang entity na inakusahan ng Israel National Cyber Directorate at pinaniniwalaang nagpapatakbo sa ilalim ng Ministry of Intelligence and Security (MOIS) ng Iran. Ang kanilang mga target ay sumasaklaw sa maraming sektor sa Israel, kabilang ang:
- Pamahalaan at depensa
- Pangangalaga sa kalusugan at pananalapi
- Teknolohiya at komunikasyon
Ang isa pang aktor, ang UNC3313, na nauugnay sa grupong MuddyWater , ay nagpatakbo ng mga spear-phishing na kampanya mula noong 2022 at kilala sa paggamit ng mga lehitimong tool sa malayuang pagsubaybay upang mapanatili ang stealth at patuloy na pag-access. Samantala, ang UNC1549 ay lumipat patungo sa cloud-based na imprastraktura upang mas mahusay na maghalo sa mga kapaligiran ng enterprise at maiwasan ang pagtuklas.
Mga Mastermind ng Manipulasyon: APT42 at Higit pa
Ang APT42 , na kilala rin bilang Charming Kitten, ay kilala sa mga sopistikadong diskarte sa social engineering. Ang grupong ito ay nag-deploy ng mga pekeng login page na nagpapanggap bilang mga pangunahing platform tulad ng Google, Microsoft at Yahoo! upang mag-ani ng mga kredensyal. Gumamit sila ng mga platform tulad ng Google Sites at Dropbox para i-funnel ang mga biktima sa mga nakakahamak na page na ito, na nagpapahusay sa kanilang panlilinlang.
Bukod dito, ang APT34 (OilRig) ay gumamit ng mga custom na backdoor gaya ng DODGYLAFFA at SPAREPRIZE sa mga pag-atake sa mga sistema ng gobyerno ng Iraq. Sa kabuuan, natukoy ng mga eksperto sa cybersecurity ang mahigit 20 natatanging pamilya ng malware na binuo o ginamit ng mga aktor ng Iran sa iba't ibang operasyon sa cyber sa Middle Eastern noong 2024.
Konklusyon: Isang Patuloy at Umuunlad na Banta
Ang mga Iranian cyber actor ay nagpakita ng isang kapansin-pansing ebolusyon sa mga taktika, na pinagsasama ang sikolohikal na pagmamanipula sa teknikal na pagiging sopistikado. Sa pamamagitan ng mga GUI, mga lehitimong tool, at mga serbisyo sa cloud, pinipino nila ang kanilang diskarte sa pagpapanatili ng access at pag-iwas sa pagtuklas, na nagpapahiwatig ng patuloy na hamon para sa panrehiyon at pandaigdigang pagsisikap sa cybersecurity.
