MURKYTOUR Бекдор
У жовтні 2024 року загрозливий суб’єкт, пов’язаний з Іраном, UNC2428, розпочав кампанію кібершпигунства, націлену на ізраїльських осіб. Маскуючись під вербувальників ізраїльського оборонного підрядника Rafael, група використовувала схему соціальної інженерії на тему роботи, щоб заманити жертв. Коли люди проявляли інтерес, їх перенаправляли на шахрайський веб-сайт, що імітував Рафаеля, де їм було запропоновано завантажити програмний інструмент під назвою «RafaelConnect.exe».
Зміст
Від інтересу до вторгнення: ланцюжок доставки зловмисного програмного забезпечення
Завантажений інструмент насправді був інсталятором під назвою LONEFLEET. Він мав графічний інтерфейс користувача (GUI), розроблений так, щоб виглядати як законний портал заявок на роботу, із запитом особистих даних і завантаженням резюме. Цей, здавалося б, нешкідливий інтерфейс приховував шкідливі наміри. Після надсилання даних бекдор під назвою MURKYTOUR був тихо розгорнутий у фоновому режимі через програму запуску під назвою LEAFPILE, надаючи зловмисникам постійний доступ до зараженої системи. Цей підхід підкреслює стратегічне використання суб’єктами загрози графічного інтерфейсу користувача для маскування виконання зловмисного програмного забезпечення як доброякісної діяльності.
Більше ніж один гравець: розширений іранський ландшафт кіберзагроз
UNC2428 — це лише частина ширшої головоломки іранських кібероперацій. Ця кампанія має спільні характеристики з діяльністю, пов’язаною з Black Shadow, організацією, яку звинувачує Ізраїльський національний кібердиректор і яка, як вважають, працює під керівництвом Міністерства розвідки та безпеки Ірану (MOIS). Їхні цілі охоплюють численні сектори в Ізраїлі, зокрема:
- Уряд і оборона
- Охорона здоров'я та фінанси
- Техніка та комунікації
Інший актор, UNC3313, пов’язаний із групою MuddyWater , проводить фішингові кампанії з 2022 року та відомий тим, що використовує законні інструменти віддаленого моніторингу для підтримки прихованого та постійного доступу. Тим часом UNC1549 перейшов до хмарної інфраструктури, щоб краще інтегруватися в корпоративне середовище та уникнути виявлення.
Натхненники маніпуляції: APT42 і далі
APT42 , також відомий як Чарівне кошеня, відомий своїми складними методами соціальної інженерії. Ця група розгорнула підроблені сторінки входу, які видають себе за такі основні платформи, як Google, Microsoft і Yahoo! збирати облікові дані. Вони використовували такі платформи, як Google Sites і Dropbox, щоб направляти жертв на ці шкідливі сторінки, посилюючи їх обман.
Крім того, APT34 (OilRig) використовував спеціальні бекдори, такі як DODGYLAFFA та SPAREPRIZE, для атак на урядові системи Іраку. Загалом експерти з кібербезпеки ідентифікували понад 20 унікальних сімейств шкідливого програмного забезпечення, розроблених або використаних іранськими акторами в різних кіберопераціях на Близькому Сході у 2024 році.
Висновок: постійна загроза, що розвивається
Іранські кіберактори продемонстрували помітну еволюцію в тактиці, поєднуючи психологічні маніпуляції з технічною витонченістю. За допомогою графічних інтерфейсів користувача, легітимних інструментів і хмарних служб вони вдосконалюють свій підхід до підтримки доступу та ухилення від виявлення, сигналізуючи про те, що регіональні та глобальні зусилля з кібербезпеки залишаються актуальними.
