Cửa sau của MURKYTOUR
Vào tháng 10 năm 2024, một tác nhân đe dọa liên kết với Iran, UNC2428, đã phát động một chiến dịch gián điệp mạng nhắm vào các cá nhân Israel. Nhóm này ngụy trang thành những người tuyển dụng từ nhà thầu quốc phòng Israel Rafael, sử dụng một chương trình kỹ thuật xã hội theo chủ đề công việc để dụ dỗ nạn nhân. Khi các cá nhân tỏ ra quan tâm, họ được chuyển hướng đến một trang web lừa đảo bắt chước Rafael, nơi họ được nhắc tải xuống một công cụ ứng dụng có tên là 'RafaelConnect.exe'.
Mục lục
Từ quan tâm đến xâm nhập: Chuỗi phân phối phần mềm độc hại
Công cụ được tải xuống thực chất là một trình cài đặt có tên là LONEFLEET. Nó có giao diện người dùng đồ họa (GUI) được thiết kế trông giống như một cổng thông tin ứng tuyển việc làm hợp pháp, yêu cầu thông tin cá nhân và tải sơ yếu lý lịch lên. Giao diện có vẻ vô hại này ẩn chứa ý định gây hại. Khi dữ liệu được gửi đi, một cửa hậu có tên MURKYTOUR đã được triển khai âm thầm ở chế độ nền thông qua một trình khởi chạy có tên là LEAFPILE, cấp cho kẻ tấn công quyền truy cập liên tục vào hệ thống bị nhiễm. Cách tiếp cận này làm nổi bật việc các tác nhân đe dọa sử dụng GUI một cách có chiến lược để ngụy trang việc thực thi phần mềm độc hại thành hoạt động vô hại.
Nhiều hơn một người chơi: Bối cảnh đe dọa mạng đang mở rộng của Iran
UNC2428 chỉ là một phần trong câu đố về hoạt động mạng rộng lớn hơn của Iran. Chiến dịch này có chung đặc điểm với các hoạt động liên quan đến Black Shadow, một thực thể bị Cục An ninh mạng quốc gia Israel cáo buộc và được cho là hoạt động dưới sự quản lý của Bộ Tình báo và An ninh Iran (MOIS). Mục tiêu của họ bao gồm nhiều lĩnh vực ở Israel, bao gồm:
- Chính phủ và quốc phòng
- Y tế và tài chính
- Công nghệ và truyền thông
Một diễn viên khác, UNC3313, có liên quan đến nhóm MuddyWater , đã thực hiện các chiến dịch lừa đảo trực tuyến từ năm 2022 và được biết đến với việc sử dụng các công cụ giám sát từ xa hợp pháp để duy trì quyền truy cập ẩn danh và liên tục. Trong khi đó, UNC1549 đã chuyển sang cơ sở hạ tầng dựa trên đám mây để hòa nhập tốt hơn vào môi trường doanh nghiệp và tránh bị phát hiện.
Những kẻ chủ mưu thao túng: APT42 và hơn thế nữa
APT42 , còn được gọi là Charming Kitten, nổi tiếng với các kỹ thuật kỹ thuật xã hội tinh vi. Nhóm này đã triển khai các trang đăng nhập giả mạo các nền tảng lớn như Google, Microsoft và Yahoo! để thu thập thông tin đăng nhập. Chúng đã sử dụng các nền tảng như Google Sites và Dropbox để dẫn dắt nạn nhân đến các trang độc hại này, tăng cường sự lừa dối của chúng.
Hơn nữa, APT34 (OilRig) đã sử dụng các backdoor tùy chỉnh như DODGYLAFFA và SPAREPRIZE trong các cuộc tấn công vào hệ thống của chính phủ Iraq. Tổng cộng, các chuyên gia an ninh mạng đã xác định được hơn 20 nhóm phần mềm độc hại độc đáo do các tác nhân Iran phát triển hoặc sử dụng trong nhiều hoạt động mạng khác nhau ở Trung Đông vào năm 2024.
Kết luận: Một mối đe dọa dai dẳng và đang phát triển
Các tác nhân mạng Iran đã cho thấy sự tiến hóa đáng kể về chiến thuật, kết hợp thao túng tâm lý với sự tinh vi về mặt kỹ thuật. Thông qua GUI, các công cụ hợp pháp và dịch vụ đám mây, họ đang tinh chỉnh cách tiếp cận của mình để duy trì quyền truy cập và tránh bị phát hiện, báo hiệu một thách thức liên tục đối với các nỗ lực an ninh mạng khu vực và toàn cầu.
