يتجسس ممثل التهديد الإيراني الذي ترعاه الدولة على المنظمات ذات القيمة العالية في جميع أنحاء الشرق الأوسط لمدة عام على الأقل، باستخدام إطار عمل ضار قابل للتخصيص.
In تقرير نشر في 31 أكتوبرووصف باحثون من Check Point وSygnia الحملة بأنها "أكثر تطوراً بشكل ملحوظ مقارنة بالأنشطة السابقة" المرتبطة بإيران. وشملت الأهداف حتى الآن القطاعات الحكومية والعسكرية والمالية وتكنولوجيا المعلومات والاتصالات في إسرائيل والعراق والأردن والكويت وعمان والمملكة العربية السعودية والإمارات العربية المتحدة. الطبيعة الدقيقة للبيانات المسروقة حتى الآن ليست معروفة علنًا.
المجموعة المسؤولة - التي تم تتبعها باسم "Scarred Manticore" بواسطة Check Point، و"Shrouded Snooper" بواسطة Cisco Talos - مرتبطة بوزارة الاستخبارات والأمن الإيرانية. ويتداخل مع المشهور OilRig (المعروف أيضًا باسم APT34، MuddyWater، Crambus، Europium، Hazel Sandstorm)، وقد لوحظت بعض أدواته في برنامج فدية مزدوج وممسحة هجمات ضد أنظمة الحكومة الألبانية في عام 2021. لكن سلاحها الأحدث - إن إطار عمل "Liontail"، الذي يستفيد من الوظائف غير الموثقة لبرنامج تشغيل HTTP.sys لاستخراج الحمولات من حركة المرور الواردة، هو إطار عمل خاص به.
يوضح سيرجي شيكيفيتش، مدير مجموعة استخبارات التهديدات في Check Point: "إن الأمر لا يقتصر على هياكل الويب المنفصلة أو الوكلاء أو البرامج الضارة القياسية". "إنه إطار واسع النطاق، ومحدد للغاية لأهدافه."
أدوات مانتيكور المتطورة
يقوم Scarred Manticore بمهاجمة خوادم Windows التي تواجه الإنترنت في المؤسسات ذات القيمة العالية في الشرق الأوسط منذ عام 2019 على الأقل.
في أيامه السابقة، استخدم نسخة معدلة من قذيفة الويب مفتوحة المصدر Tunna. تم تشعب Tunna 298 مرة على GitHub، ويتم تسويقه كمجموعة من الأدوات التي تقوم بتوصيل اتصالات TCP عبر HTTP، متجاوزة قيود الشبكة وجدران الحماية على طول الطريق.
وبمرور الوقت، أجرت المجموعة تغييرات كافية على تونا، مما دفع الباحثين إلى تتبعها تحت الاسم الجديد "Foxshell". كما أنها استفادت من أدوات أخرى، مثل الباب الخلفي القائم على .NET والمصمم لخوادم خدمات معلومات الإنترنت (IIS)، تم الكشف عنه لأول مرة ولكن لم يُنسب إليه في فبراير 2022.
بعد Foxshell، جاء أحدث وأعظم سلاح للمجموعة: إطار عمل Liontail. Liontail عبارة عن مجموعة من أدوات تحميل كود القشرة المخصصة وحمولات كود القشرة المقيمة في الذاكرة، مما يعني أنها خالية من الملفات، ومكتوبة في الذاكرة، وبالتالي لا تترك أثرًا ملحوظًا خلفها.
يوضح شيكيفيتش: "إنه برنامج خفي للغاية، لأنه لا توجد برامج ضارة كبيرة يسهل التعرف عليها ومنعها". بدلاً من ذلك، "إنها في الغالب عبارة عن PowerShell، ووكلاء عكسيين، وقذائف عكسية، ومخصصة جدًا للأهداف."
كشف ذيل الأسد
ومع ذلك، فإن الميزة الأكثر تخفيًا في Liontail هي كيفية استحضار الحمولات من خلال مكالمات مباشرة إلى برنامج تشغيل مكدس Windows HTTP HTTP.sys. تم وصفه لأول مرة بواسطة Cisco Talos في سبتمبر، تقوم البرامج الضارة بشكل أساسي بربط نفسها بخادم Windows، والاستماع إلى الرسائل المطابقة لأنماط URL المحددة التي يحددها المهاجم واعتراضها وفك تشفيرها.
في الواقع، كما يقول يوآف مازور، قائد فريق الاستجابة للحوادث في Sygnia، "إنها تتصرف مثل صدفة الويب، لكن لا تتم كتابة أي من سجلات صدفة الويب التقليدية فعليًا."
وفقًا لمازور، كانت الأدوات الأساسية التي ساعدت في الكشف عن Scarred Manticore هي جدران الحماية لتطبيقات الويب والتنصت على مستوى الشبكة. ومن جانبه، يؤكد شيكيفيتش على أهمية تقنية XDR في القضاء على مثل هذه العمليات المتقدمة.
ويقول: "إذا كانت لديك حماية مناسبة لنقطة النهاية، فيمكنك الدفاع ضدها". "يمكنك البحث عن الارتباطات بين مستوى الشبكة ومستوى نقطة النهاية - كما تعلمون، حالات شاذة في حركة المرور باستخدام Web Shells وPowerShell في أجهزة نقطة النهاية. هذه هي الطريقة الأفضل."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/dr-global/-scarred-manticore-unleashes-most-advanced-iranian-espionage
- :لديها
- :يكون
- :ليس
- 2019
- 2021
- 7
- a
- في
- أنشطة
- في الواقع
- متقدم
- مميزات
- ضد
- الكل
- على طول
- أيضا
- و
- الشذوذ
- تطبيق
- عربي
- العربيّة المُتحدة
- هي
- AS
- At
- مهاجمة
- الباب الخلفي
- لان
- كان
- وراء
- أفضل
- ما بين
- كبير
- لكن
- by
- دعوات
- أتى
- الحملات
- CAN
- التغييرات
- تتميز
- التحقق
- سيسكو
- مجال الاتصالات
- مقارنة
- الارتباطات
- على
- للتخصيص
- حسب الطلب
- الانترنت
- البيانات
- أيام
- فك
- وصف
- تصميم
- مصمم
- الأجهزة
- مباشرة
- سائق
- في وقت سابق
- الشرق
- سهل
- تأثير
- الإمارات
- يؤكد
- نقطة النهاية
- كاف
- تجسس
- أساسيا
- المتطورة
- ويوضح
- استخراج
- مشهور
- بعيدا
- الميزات
- فبراير
- مالي
- الجدران النارية
- في حالة
- الإطار
- تبدأ من
- على نطاق واسع
- وظائف
- GitHub جيثب:
- حكومة
- أعظم
- تجمع
- يملك
- he
- ساعد
- جدا
- له
- كيفية
- HTTP
- HTTPS
- تحديد
- if
- IIS
- أهمية
- in
- حادث
- استجابة الحادث
- الوارد
- معلومات
- بدلًا من ذلك
- رؤيتنا
- Internet
- إلى
- إيران
- إيراني
- العراق
- إسرائيل
- IT
- انها
- نفسها
- الأردن
- JPG
- م
- علم
- معروف
- الكويت
- آخر
- زعيم
- الأقل
- يترك
- مستوى
- مثل
- مرتبط
- استماع
- القليل
- بحث
- صنع
- البرمجيات الخبيثة
- مدير
- مطابقة
- معنى
- مكبر الصوت : يدعم، مع دعم ميكروفون مدمج لمنع الضوضاء
- رسائل
- وسط
- الشرق الأوسط
- عسكر
- وزارة
- تم التعديل
- الأكثر من ذلك
- أكثر
- خاصة
- الاسم
- الطبيعة
- شبكة
- جديد
- الأحدث
- لا
- بدون اضاءة
- لا سيما
- أكتوبر
- of
- سلطنة عمان
- on
- جاكيت
- المصدر المفتوح
- عمليات
- or
- المنظمات
- أخرى
- خارج
- الخاصة
- جزء
- أنماط
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- البوينت
- بوويرشيل
- منع
- سابق
- ابتدائي
- لائق
- الحماية
- علانية
- نشرت
- الفدية
- RE
- تقرير
- الباحثين
- استجابة
- مسؤول
- القيود
- كشف
- عكس
- s
- سعودي
- المملكة العربية السعودية
- يقول
- قطاعات
- أمن
- مستقل
- الخادم
- خوادم
- خدماتنا
- طقم
- قذيفة
- يكتنفه
- منذ
- بعض
- متطور
- مصدر
- محدد
- تجسس
- كومة
- معيار
- مسترق
- مسروق
- هذه
- SYS
- يأخذ
- تالوس
- نقر
- الأهداف
- فريق
- الاتصالات
- أن
- •
- هناك.
- وبالتالي
- هم
- على الرغم من؟
- التهديد
- وهكذا
- مربوط
- الوقت
- مرات
- إلى
- أدوات
- أثر
- تقليدي
- حركة المرور
- نفق
- كشف
- مع
- متحد
- العربية المتحدة
- الإمارات العربية المتحدة
- تطلق
- URL
- تستخدم
- مستعمل
- استخدام
- الإصدار
- جدا
- بواسطة
- طريق..
- الويب
- تطبيق ويب
- كان
- التي
- نوافذ
- مع
- مكتوب
- XDR
- عام
- حتى الآن
- أنت
- زفيرنت