"Scarred Manticore" släpper lös det mest avancerade iranska cyberspionaget hittills

Återutgiven av Platon

anhängare: 0

"Scarred Manticore" släpper lös den mest avancerade iranska cyberspionaget ännu PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.

En iransk statssponsrad hotaktör har spionerat på högvärdiga organisationer i Mellanöstern i minst ett år, med hjälp av ett smygande, anpassningsbart ramverk för skadlig programvara.

In en rapport publicerad den 31 okt, karakteriserade forskare från Check Point och Sygnia kampanjen som "särskilt mer sofistikerad jämfört med tidigare aktiviteter" knuten till Iran. Hittills har målen sträckt sig över regerings-, militär-, finans-, IT- och telekommunikationssektorerna i Israel, Irak, Jordanien, Kuwait, Oman, Saudiarabien och Förenade Arabemiraten. Den exakta typen av data som stulits hittills är inte allmänt känd.

Den ansvariga gruppen - spårad som "Scarred Manticore" av Check Point och "Shrouded Snooper" av Cisco Talos - är kopplad till Irans underrättelse- och säkerhetsministerium. Det överlappar med det berömda OilRig (aka APT34, MuddyWater, Crambus, Europium, Hazel Sandstorm), och några av dess verktyg observerades i en dubbel ransomware och torkare attacker mot albanska regeringssystem år 2021. Men dess nyaste vapen - ramverket "Liontail", som drar fördel av odokumenterade funktioner i HTTP.sys-drivrutinen för att extrahera nyttolaster från inkommande trafik - är helt eget.

"Det är inte bara separata webbskal, proxyservrar eller standardskadlig programvara", förklarar Sergey Shykevich, gruppchef för hotintelligence på Check Point. "Det är ett fullskaligt ramverk, mycket specifikt för dess mål."

Scarred Manticores Evolving Tools

Scarred Manticore har attackerat Internet-vända Windows-servrar på högvärdiga organisationer i Mellanöstern sedan åtminstone 2019.

I dess tidigare dagar använde den en modifierad version av webbskalet Tunna med öppen källkod. Tunna har fördelats 298 gånger på GitHub och marknadsförs som en uppsättning verktyg som tunnelerar TCP-kommunikation via HTTP, och kringgår nätverksbegränsningar och brandväggar längs vägen.

Med tiden gjorde gruppen tillräckligt många ändringar i Tunna att forskare spårade den under det nya namnet "Foxshell." Den använde sig också av andra verktyg, som en .NET-baserad bakdörr designad för Internet Information Services (IIS)-servrar, först avslöjades men inte tillskrivs i februari 2022.

Efter Foxshell kom gruppens senaste, bästa vapen: Liontail-ramverket. Liontail är en uppsättning anpassade shellcode-laddare och shellcode-nyttolaster som är minnesresidenta, vilket betyder att de är fillösa, inskrivna i minnet och därför lämnar lite märkbara spår efter sig.

"Det är mycket smygande, eftersom det inte finns någon stor skadlig programvara som är lätt att identifiera och förhindra", förklarar Shykevich. Istället "är det mest PowerShell, omvända proxyservrar, omvända skal och mycket anpassade till mål."

Upptäcker Liontail

Liontails smygaste funktion är dock hur den framkallar nyttolaster med direktanrop till Windows HTTP-stackdrivrutinen HTTP.sys. Beskrevs först av Cisco Talos i september, den skadliga programvaran fäster sig i huvudsak på en Windows-server, lyssnar efter, fångar upp och avkodar meddelanden som matchar specifika URL-mönster som bestämts av angriparen.

I själva verket, säger Yoav Mazor, incidentresponsteamledare på Sygnia, "det beter sig som ett webbskal, men ingen av de traditionella webbskalloggarna är faktiskt skrivna."

Enligt Mazor var de primära verktygen som hjälpte till att avslöja Scarred Manticore webbapplikationsbrandväggar och avlyssning på nätverksnivå. Och Shykevitj, å sin sida, betonar vikten av XDR för att stoppa sådana avancerade operationer.

"Om du har ett ordentligt slutpunktsskydd kan du försvara dig mot det", säger han. "Du kan leta efter korrelationer mellan nätverksnivån och slutpunktsnivån - du vet, anomalier i trafiken med webbskal och PowerShell i slutpunktsenheterna. Det är det bästa sättet."