Iranin valtion tukema uhkatoimija on vakoillut arvokkaita organisaatioita Lähi-idässä vähintään vuoden ajan käyttämällä salakavalaa, muokattavissa olevaa haittaohjelmakehystä.
In 31. lokakuuta julkaistu raportti, Check Pointin ja Sygnian tutkijat luonnehtivat kampanjaa "huomattavasti kehittyneemmäksi aiempiin toimiin verrattuna", joka liittyy Iraniin. Tavoitteet ovat tähän mennessä kattaneet hallituksen, sotilas-, rahoitus-, IT- ja televiestintäsektorit Israelissa, Irakissa, Jordaniassa, Kuwaitissa, Omanissa, Saudi-Arabiassa ja Yhdistyneissä arabiemiirikunnissa. Toistaiseksi varastettujen tietojen tarkka luonne ei ole julkisesti tiedossa.
Vastuussa oleva ryhmä – jota Check Point jäljittää nimellä "Scarred Manticore" ja Cisco Talosin "Shrouded Snooper" - on yhteydessä Iranin tiedustelu- ja turvallisuusministeriöön. Se menee päällekkäin kuuluisan kanssa OilRig (alias APT34, MuddyWater, Crambus, Europium, Hazel Sandstorm), ja jotkin sen työkaluista havaittiin kaksoiskirnistusohjelmassa ja pyyhkimessä hyökkäyksiä Albanian hallintojärjestelmiä vastaan vuonna 2021. Mutta sen uusin ase - Liontail-kehys, joka hyödyntää HTTP.sys-ohjaimen dokumentoimattomia toimintoja hyötykuormien poimimiseen saapuvasta liikenteestä, on omansa.
"Kyse ei ole vain erillisistä verkkokuorista, välityspalvelimista tai tavallisista haittaohjelmista", selittää Sergey Shykevich, Check Pointin uhkien tiedusteluryhmän johtaja. "Se on täysimittainen kehys, joka on hyvin spesifinen sen tavoitteille."
Scarred Manticoren kehittyvät työkalut
Scarred Manticore on hyökännyt Internetiin päin oleviin Windows-palvelimiin arvokkaissa Lähi-idän organisaatioissa ainakin vuodesta 2019 lähtien.
Aikaisemmin se käytti muokattua versiota avoimen lähdekoodin Web-kuori Tunna. GitHubissa 298 kertaa haarautunut Tunna markkinoidaan työkalusarjana, joka tunneli TCP-viestinnän HTTP:n kautta ohittaen verkkorajoitukset ja palomuurit matkan varrella.
Ajan myötä ryhmä teki Tunnaan tarpeeksi muutoksia, jotta tutkijat seurasivat sitä uudella nimellä "Foxshell". Se käytti myös muita työkaluja, kuten .NET-pohjaista takaovea, joka oli suunniteltu Internet Information Services (IIS) -palvelimille, Paljastui ensimmäisen kerran, mutta sitä ei mainita helmikuussa 2022.
Foxshellin jälkeen tuli ryhmän uusin, suurin ase: Liontail-kehys. Liontail on joukko mukautettuja shellcode-lataajia ja shellcode-hyötykuormia, jotka ovat muistissa, mikä tarkoittaa, että ne ovat tiedostottomia, kirjoitetaan muistiin ja jättävät siksi vain vähän havaittavissa olevaa jälkeä.
"Se on erittäin vaivalloinen, koska ei ole olemassa suuria haittaohjelmia, jotka olisi helppo tunnistaa ja estää", Shykevich selittää. Sen sijaan "se on enimmäkseen PowerShell, käänteiset välityspalvelimet, käänteiset kuoret ja hyvin räätälöity kohteisiin."
Liontail havaitaan
Liontailin salakkain ominaisuus on kuitenkin se, kuinka se herättää hyötykuormia suorilla kutsuilla Windowsin HTTP-pinoohjaimelle HTTP.sys. Cisco Talos kuvasi ensimmäisen kerran syyskuussa, haittaohjelma kiinnittyy olennaisesti Windows-palvelimeen ja kuuntelee, sieppaa ja purkaa viestejä, jotka vastaavat hyökkääjän määrittämiä tiettyjä URL-malleja.
Yoav Mazor, Sygnian tapausvalvontatiimin johtaja, sanoo itse asiassa, että "se käyttäytyy kuin Web-kuori, mutta mitään perinteisistä Web-kuorilokeista ei kirjoiteta."
Mazorin mukaan ensisijaiset työkalut, jotka auttoivat paljastamaan Scarred Manticorea, olivat verkkosovellusten palomuurit ja verkkotason napauttaminen. Ja Shykevich puolestaan korostaa XDR:n merkitystä tällaisten edistyneiden toimintojen tukahduttamisessa.
"Jos sinulla on asianmukainen päätepistesuojaus, voit puolustautua sitä vastaan", hän sanoo. "Voit etsiä korrelaatioita verkkotason ja päätepistetason välillä - tiedäthän, poikkeavuuksia liikenteessä Web-kuorien ja päätepistelaitteiden PowerShellin kanssa. Se on paras tapa."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/dr-global/-scarred-manticore-unleashes-most-advanced-iranian-espionage
- :on
- :On
- :ei
- 2019
- 2021
- 7
- a
- poikki
- toiminta
- todella
- kehittynyt
- Etu
- vastaan
- Kaikki
- pitkin
- Myös
- ja
- poikkeavuuksia
- Hakemus
- arabi
- Arabiemiirikunnat
- OVAT
- AS
- At
- Hyökkäävä
- takaoven
- koska
- ollut
- takana
- PARAS
- välillä
- Iso
- mutta
- by
- Puhelut
- tuli
- Kampanja
- CAN
- Muutokset
- tunnettu siitä,
- tarkastaa
- Cisco
- Yhteydenpito
- verrattuna
- korrelaatiot
- asiakassuhde
- muokattavissa
- räätälöityjä
- cyber
- tiedot
- päivää
- Dekoodaus
- on kuvattu
- suunniteltu
- määritetty
- Laitteet
- ohjata
- kuljettaja
- Aikaisemmin
- Itään
- helppo
- vaikutus
- Emirates
- painottaa
- päätepiste
- tarpeeksi
- vakoilu
- olennaisesti
- kehittyvä
- selittää
- uute
- kuuluisa
- paljon
- Ominaisuus
- helmikuu
- taloudellinen
- palomuurit
- varten
- Puitteet
- alkaen
- täysimittainen
- toiminnallisuudet
- GitHub
- Hallitus
- suurin
- Ryhmä
- Olla
- he
- auttanut
- erittäin
- hänen
- Miten
- http
- HTTPS
- tunnistaa
- if
- Iis
- merkitys
- in
- tapaus
- tapahtuman vastaus
- Saapuva
- tiedot
- sen sijaan
- Älykkyys
- Internet
- tulee
- Iran
- iranilainen
- Irak
- Israel
- IT
- SEN
- itse
- Jordan
- jpg
- vain
- Tietää
- tunnettu
- Kuwait
- uusin
- johtaja
- vähiten
- jättää
- Taso
- pitää
- liittyvät
- Kuunteleminen
- vähän
- katso
- tehty
- haittaohjelmat
- johtaja
- matching
- merkitys
- Muisti
- viestien
- Keskimmäinen
- Lähi-itä
- Sotilaallinen
- ministeriö
- muokattu
- lisää
- eniten
- enimmäkseen
- nimi
- luonto
- verkko
- Uusi
- Uusimmat
- Nro
- Ei eristetty
- etenkin
- lokakuu
- of
- Oman
- on
- avata
- avoimen lähdekoodin
- Operations
- or
- organisaatioiden
- Muut
- ulos
- oma
- osa
- kuviot
- Platon
- Platonin tietotieto
- PlatonData
- Kohta
- PowerShell
- estää
- edellinen
- ensisijainen
- asianmukainen
- suojaus
- julkisesti
- julkaistu
- ransomware
- RE
- raportti
- Tutkijat
- vastaus
- vastuullinen
- rajoitukset
- paljastaa
- käänteinen
- s
- Saudi
- Saudi-Arabia
- sanoo
- sektorit
- turvallisuus
- erillinen
- palvelin
- servers
- Palvelut
- setti
- Kuori
- verhottu
- koska
- jonkin verran
- hienostunut
- lähde
- erityinen
- vakoilusta
- pino
- standardi
- viekas
- varastettu
- niin
- SYS
- vie
- Talos
- napauttamalla
- tavoitteet
- joukkue-
- tietoliikenne
- että
- -
- Siellä.
- siksi
- ne
- vaikka?
- uhkaus
- Näin
- tied
- aika
- kertaa
- että
- työkalut
- Jäljittää
- perinteinen
- liikenne
- tunneli
- kattamaton
- varten
- Yhtenäinen
- Arabiemiirikunnat
- Yhdistyneet Arabiemiirikunnat
- valloilleen
- URL
- käyttää
- käytetty
- käyttämällä
- versio
- hyvin
- kautta
- Tapa..
- verkko
- Web-sovellus
- olivat
- joka
- ikkunat
- with
- kirjallinen
- XDR
- vuosi
- vielä
- Voit
- zephyrnet
