"مانتيكور الندوب" يطلق العنان للتجسس الإلكتروني الإيراني الأكثر تقدمًا حتى الآن

يتجسس ممثل التهديد الإيراني الذي ترعاه الدولة على المنظمات ذات القيمة العالية في جميع أنحاء الشرق الأوسط لمدة عام على الأقل، باستخدام إطار عمل ضار قابل للتخصيص.

In تقرير نشر في 31 أكتوبرووصف باحثون من Check Point وSygnia الحملة بأنها "أكثر تطوراً بشكل ملحوظ مقارنة بالأنشطة السابقة" المرتبطة بإيران. وشملت الأهداف حتى الآن القطاعات الحكومية والعسكرية والمالية وتكنولوجيا المعلومات والاتصالات في إسرائيل والعراق والأردن والكويت وعمان والمملكة العربية السعودية والإمارات العربية المتحدة. الطبيعة الدقيقة للبيانات المسروقة حتى الآن ليست معروفة علنًا.

المجموعة المسؤولة - التي تم تتبعها باسم "Scarred Manticore" بواسطة Check Point، و"Shrouded Snooper" بواسطة Cisco Talos - مرتبطة بوزارة الاستخبارات والأمن الإيرانية. ويتداخل مع المشهور OilRig (المعروف أيضًا باسم APT34، MuddyWater، Crambus، Europium، Hazel Sandstorm)، وقد لوحظت بعض أدواته في برنامج فدية مزدوج وممسحة هجمات ضد أنظمة الحكومة الألبانية في عام 2021. لكن سلاحها الأحدث - إن إطار عمل "Liontail"، الذي يستفيد من الوظائف غير الموثقة لبرنامج تشغيل HTTP.sys لاستخراج الحمولات من حركة المرور الواردة، هو إطار عمل خاص به.

يوضح سيرجي شيكيفيتش، مدير مجموعة استخبارات التهديدات في Check Point: "إن الأمر لا يقتصر على هياكل الويب المنفصلة أو الوكلاء أو البرامج الضارة القياسية". "إنه إطار واسع النطاق، ومحدد للغاية لأهدافه."

أدوات مانتيكور المتطورة

يقوم Scarred Manticore بمهاجمة خوادم Windows التي تواجه الإنترنت في المؤسسات ذات القيمة العالية في الشرق الأوسط منذ عام 2019 على الأقل.

في أيامه السابقة، استخدم نسخة معدلة من قذيفة الويب مفتوحة المصدر Tunna. تم تشعب Tunna 298 مرة على GitHub، ويتم تسويقه كمجموعة من الأدوات التي تقوم بتوصيل اتصالات TCP عبر HTTP، متجاوزة قيود الشبكة وجدران الحماية على طول الطريق.

وبمرور الوقت، أجرت المجموعة تغييرات كافية على تونا، مما دفع الباحثين إلى تتبعها تحت الاسم الجديد "Foxshell". كما أنها استفادت من أدوات أخرى، مثل الباب الخلفي القائم على .NET والمصمم لخوادم خدمات معلومات الإنترنت (IIS)، تم الكشف عنه لأول مرة ولكن لم يُنسب إليه في فبراير 2022.

بعد Foxshell، جاء أحدث وأعظم سلاح للمجموعة: إطار عمل Liontail. Liontail عبارة عن مجموعة من أدوات تحميل كود القشرة المخصصة وحمولات كود القشرة المقيمة في الذاكرة، مما يعني أنها خالية من الملفات، ومكتوبة في الذاكرة، وبالتالي لا تترك أثرًا ملحوظًا خلفها.

يوضح شيكيفيتش: "إنه برنامج خفي للغاية، لأنه لا توجد برامج ضارة كبيرة يسهل التعرف عليها ومنعها". بدلاً من ذلك، "إنها في الغالب عبارة عن PowerShell، ووكلاء عكسيين، وقذائف عكسية، ومخصصة جدًا للأهداف."

كشف ذيل الأسد

ومع ذلك، فإن الميزة الأكثر تخفيًا في Liontail هي كيفية استحضار الحمولات من خلال مكالمات مباشرة إلى برنامج تشغيل مكدس Windows HTTP HTTP.sys. تم وصفه لأول مرة بواسطة Cisco Talos في سبتمبر، تقوم البرامج الضارة بشكل أساسي بربط نفسها بخادم Windows، والاستماع إلى الرسائل المطابقة لأنماط URL المحددة التي يحددها المهاجم واعتراضها وفك تشفيرها.

في الواقع، كما يقول يوآف مازور، قائد فريق الاستجابة للحوادث في Sygnia، "إنها تتصرف مثل صدفة الويب، لكن لا تتم كتابة أي من سجلات صدفة الويب التقليدية فعليًا."

وفقًا لمازور، كانت الأدوات الأساسية التي ساعدت في الكشف عن Scarred Manticore هي جدران الحماية لتطبيقات الويب والتنصت على مستوى الشبكة. ومن جانبه، يؤكد شيكيفيتش على أهمية تقنية XDR في القضاء على مثل هذه العمليات المتقدمة.

ويقول: "إذا كانت لديك حماية مناسبة لنقطة النهاية، فيمكنك الدفاع ضدها". "يمكنك البحث عن الارتباطات بين مستوى الشبكة ومستوى نقطة النهاية - كما تعلمون، حالات شاذة في حركة المرور باستخدام Web Shells وPowerShell في أجهزة نقطة النهاية. هذه هي الطريقة الأفضل."

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/dr-global/-scarred-manticore-unleashes-most-advanced-iranian-espionage