Ένας παράγοντας απειλών που χρηματοδοτείται από το Ιράν κατασκοπεύει οργανισμούς υψηλής αξίας σε όλη τη Μέση Ανατολή για τουλάχιστον ένα χρόνο, χρησιμοποιώντας ένα κρυφό, προσαρμόσιμο πλαίσιο κακόβουλου λογισμικού.
In έκθεση που δημοσιεύτηκε στις 31 Οκτωβρίου, ερευνητές από το Check Point και το Sygnia χαρακτήρισαν την εκστρατεία ως «ιδιαίτερα πιο εξελιγμένη σε σύγκριση με προηγούμενες δραστηριότητες» που συνδέεται με το Ιράν. Οι στόχοι μέχρι στιγμής έχουν καλύψει τους τομείς της κυβέρνησης, του στρατιωτικού, του οικονομικού, του IT και των τηλεπικοινωνιών στο Ισραήλ, το Ιράκ, την Ιορδανία, το Κουβέιτ, το Ομάν, τη Σαουδική Αραβία και τα Ηνωμένα Αραβικά Εμιράτα. Η ακριβής φύση των δεδομένων που έχουν κλαπεί μέχρι στιγμής δεν είναι δημόσια γνωστή.
Η υπεύθυνη ομάδα —που παρακολουθείται ως «Scarred Manticore» από το Check Point και «Shrouded Snooper» από τον Cisco Talos — συνδέεται με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν. Αλληλεπικαλύπτεται με το διάσημο OilRig (γνωστός και ως APT34, MuddyWater, Crambus, Europium, Hazel Sandstorm), και ορισμένα από τα εργαλεία του παρατηρήθηκαν σε διπλό ransomware και υαλοκαθαριστήρα επιθέσεις κατά των αλβανικών κυβερνητικών συστημάτων το 2021. Αλλά το νεότερο όπλο του - το πλαίσιο "Liontail", το οποίο εκμεταλλεύεται τις μη τεκμηριωμένες λειτουργίες του προγράμματος οδήγησης HTTP.sys για την εξαγωγή ωφέλιμων φορτίων από την εισερχόμενη κίνηση — είναι αποκλειστικά δικό του.
«Δεν είναι μόνο ξεχωριστά κελύφη Ιστού, proxies ή τυπικό κακόβουλο λογισμικό», εξηγεί ο Sergey Shykevich, διευθυντής ομάδας πληροφοριών απειλών στο Check Point. «Είναι ένα πλαίσιο πλήρους κλίμακας, πολύ συγκεκριμένο για τους στόχους του».
Scarred Manticore's Evolving Tools
Το Scarred Manticore επιτίθεται σε διακομιστές Windows που έχουν πρόσβαση στο Διαδίκτυο σε οργανισμούς υψηλής αξίας στη Μέση Ανατολή τουλάχιστον από το 2019.
Στις παλαιότερες μέρες του, χρησιμοποιούσε μια τροποποιημένη έκδοση του το κέλυφος Web ανοιχτού κώδικα Tunna. Διαχωρισμένο 298 φορές στο GitHub, το Tunna διατίθεται στην αγορά ως ένα σύνολο εργαλείων που διοχετεύουν τις επικοινωνίες TCP μέσω HTTP, παρακάμπτοντας τους περιορισμούς δικτύου και τα τείχη προστασίας στην πορεία.
Με τον καιρό, η ομάδα έκανε αρκετές αλλαγές στο Tunna που οι ερευνητές το παρακολούθησαν με το νέο όνομα "Foxshell". Χρησιμοποίησε επίσης άλλα εργαλεία, όπως ένα backdoor που βασίζεται σε .NET, σχεδιασμένο για διακομιστές Υπηρεσιών Πληροφοριών Διαδικτύου (IIS), αποκαλύφθηκε για πρώτη φορά αλλά δεν αποδόθηκε τον Φεβρουάριο του 2022.
Μετά το Foxshell ήρθε το τελευταίο, καλύτερο όπλο του γκρουπ: το πλαίσιο Liontail. Το Liontail είναι ένα σύνολο προσαρμοσμένων φορτωτών κωδίκων κελύφους και ωφέλιμων φορτίων κελύφους που είναι μόνιμα στη μνήμη, που σημαίνει ότι είναι χωρίς αρχεία, γραμμένα στη μνήμη και επομένως αφήνουν λίγα ευδιάκριτα ίχνη πίσω τους.
«Είναι πολύ κρυφό, γιατί δεν υπάρχει κανένα μεγάλο κακόβουλο λογισμικό που να είναι εύκολο να εντοπιστεί και να αποφευχθεί», εξηγεί ο Shykevich. Αντίθετα, "είναι κυρίως PowerShell, αντίστροφοι διακομιστή μεσολάβησης, αντίστροφα κελύφη και πολύ προσαρμοσμένοι σε στόχους."
Ανίχνευση Λιονταριού
Ωστόσο, το πιο κρυφό χαρακτηριστικό του Liontail είναι ο τρόπος με τον οποίο προκαλεί ωφέλιμα φορτία με άμεσες κλήσεις προς το πρόγραμμα οδήγησης HTTP στοίβας των Windows HTTP.sys. Περιγράφηκε για πρώτη φορά από τον Cisco Talos τον Σεπτέμβριο, το κακόβουλο λογισμικό συνδέεται ουσιαστικά με έναν διακομιστή Windows, ακούγοντας, υποκλοπές και αποκωδικοποιώντας μηνύματα που ταιριάζουν με συγκεκριμένα μοτίβα URL που καθορίζονται από τον εισβολέα.
Στην πραγματικότητα, λέει ο Yoav Mazor, επικεφαλής της ομάδας αντιμετώπισης περιστατικών με τη Sygnia, «συμπεριφέρεται σαν κέλυφος Ιστού, αλλά κανένα από τα παραδοσιακά αρχεία καταγραφής του κελύφους Ιστού δεν είναι πραγματικά γραμμένο».
Σύμφωνα με τον Mazor, τα κύρια εργαλεία που βοήθησαν στην αποκάλυψη του Scarred Manticore ήταν τα τείχη προστασίας εφαρμογών Web και το πάτημα σε επίπεδο δικτύου. Και ο Shykevich, από την πλευρά του, τονίζει τη σημασία του XDR για την εξάλειψη τέτοιων προηγμένων επιχειρήσεων.
"Εάν έχετε μια κατάλληλη προστασία τερματικού σημείου, μπορείτε να αμυνθείτε εναντίον της", λέει. «Μπορείτε να αναζητήσετε συσχετίσεις μεταξύ του επιπέδου δικτύου και του επιπέδου τελικού σημείου — ξέρετε, ανωμαλίες στην κυκλοφορία με κελύφη Ιστού και PowerShell στις συσκευές τελικού σημείου. Αυτός είναι ο καλύτερος τρόπος.”
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/dr-global/-scarred-manticore-unleashes-most-advanced-iranian-espionage
- :έχει
- :είναι
- :δεν
- 2019
- 2021
- 7
- a
- απέναντι
- δραστηριοτήτων
- πραγματικά
- προηγμένες
- Πλεονέκτημα
- κατά
- Όλα
- κατά μήκος
- Επίσης
- και
- ανωμαλίες
- Εφαρμογή
- Άραβας
- Αραβικά Εμιράτα
- ΕΙΝΑΙ
- AS
- At
- Επιθετικός
- κερκόπορτα
- επειδή
- ήταν
- πίσω
- ΚΑΛΎΤΕΡΟΣ
- μεταξύ
- Μεγάλος
- αλλά
- by
- κλήσεις
- ήρθε
- Εκστρατεία
- CAN
- Αλλαγές
- χαρακτηρίζεται
- έλεγχος
- Cisco
- Διαβιβάσεις
- σύγκριση
- συσχετισμοί
- έθιμο
- προσαρμόσιμη
- προσαρμοσμένη
- στον κυβερνοχώρο
- ημερομηνία
- Ημ.
- Αποκρυπτογράφηση
- περιγράφεται
- σχεδιασμένα
- αποφασισμένος
- Συσκευές
- κατευθύνει
- οδηγός
- Νωρίτερα
- Ανατολή
- εύκολος
- αποτέλεσμα
- εμιράτα
- τονίζει
- Τελικό σημείο
- αρκετά
- κατασκοπεία
- κατ 'ουσίαν,
- εξελίσσεται
- Εξηγεί
- εκχύλισμα
- πασίγνωστη και
- μακριά
- Χαρακτηριστικό
- Φεβρουάριος
- οικονομικός
- firewalls
- Για
- Πλαίσιο
- από
- πλήρους κλίμακας
- λειτουργίες
- GitHub
- Κυβέρνηση
- μεγαλύτερη
- Group
- Έχω
- he
- βοήθησε
- υψηλά
- του
- Πως
- http
- HTTPS
- προσδιορίσει
- if
- Iis
- σπουδαιότητα
- in
- περιστατικό
- απάντηση περιστατικού
- Εισερχόμενος
- πληροφορίες
- αντί
- Νοημοσύνη
- Internet
- σε
- Ιράν
- Ιρανός
- Ιράκ
- Ισραήλ
- IT
- ΤΟΥ
- εαυτό
- Ιορδανία
- jpg
- μόλις
- Ξέρω
- γνωστός
- Κουβέιτ
- αργότερο
- ηγέτης
- ελάχιστα
- Άδεια
- Επίπεδο
- Μου αρέσει
- συνδέονται
- Ακούγοντας
- λίγο
- ματιά
- που
- malware
- διευθυντής
- ταιριάζουν
- νόημα
- Μνήμη
- μηνύματα
- Μέσο
- Μέση Ανατολή
- Στρατιωτικός
- υπουργείο
- τροποποιημένο
- περισσότερο
- πλέον
- ως επί το πλείστον
- όνομα
- Φύση
- δίκτυο
- Νέα
- Νέα
- Όχι.
- Ν/Α
- ιδιαίτερα
- Οκτ
- of
- Ομάν
- on
- ανοίξτε
- ανοικτού κώδικα
- λειτουργίες
- or
- οργανώσεις
- ΑΛΛΑ
- έξω
- δική
- μέρος
- πρότυπα
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Σημείο
- PowerShell
- πρόληψη
- προηγούμενος
- πρωταρχικός
- κατάλληλος
- προστασία
- δημοσίως
- δημοσιεύθηκε
- ransomware
- RE
- αναφέρουν
- ερευνητές
- απάντησης
- υπεύθυνος
- περιορισμούς
- αποκαλύπτω
- αντιστρέψει
- s
- Σαουδική
- Σαουδική Αραβία
- λέει
- Τομείς
- ασφάλεια
- ξεχωριστό
- διακομιστής
- Διακομιστές
- Υπηρεσίες
- σειρά
- κέλυφος
- τυλιγμένο
- αφού
- μερικοί
- εξελιγμένα
- Πηγή
- συγκεκριμένες
- κατασκοπεία
- σωρός
- πρότυπο
- λαθραίος
- κλαπεί
- τέτοιος
- SYS
- παίρνει
- Τάλως
- τρύπημα
- στόχους
- τηλεπικοινωνιών
- ότι
- Η
- Εκεί.
- επομένως
- αυτοί
- αν και?
- απειλή
- Ετσι
- Δεμένος
- ώρα
- φορές
- προς την
- εργαλεία
- Ιχνος
- παραδοσιακός
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- σήραγγα
- ακάλυπτος
- υπό
- Ενωμένος
- Ηνωμένο Αραβικό
- Ηνωμένα Αραβικά Εμιράτα
- απελευθερώνει
- URL
- χρήση
- μεταχειρισμένος
- χρησιμοποιώντας
- εκδοχή
- πολύ
- μέσω
- Τρόπος..
- ιστός
- Εφαρμογή Web
- ήταν
- Ποιό
- παράθυρα
- με
- γραπτή
- XDR
- έτος
- ακόμη
- Εσείς
- zephyrnet