«Мантикора зі шрамами» відкриває найдосконаліший іранський кібершпигун

Перевидано Платоном

читають: 0

«Зашрамована Мантикора» відкриває найдосконаліший іранський кібершпигунство PlatoBlockchain Data Intelligence. Вертикальний пошук. Ai.

Спонсорований державою іранський загрозливий актор принаймні рік шпигував за цінними організаціями на Близькому Сході, використовуючи приховану структуру зловмисного програмного забезпечення з можливістю налаштування.

In звіт, опублікований 31 жовт, дослідники з Check Point і Sygnia охарактеризували кампанію як «значно більш витончену порівняно з попередніми заходами», пов’язаними з Іраном. Цілі наразі охоплювали урядовий, військовий, фінансовий, ІТ- і телекомунікаційний сектори в Ізраїлі, Іраку, Йорданії, Кувейті, Омані, Саудівській Аравії та Об’єднаних Арабських Еміратах. Точна природа викрадених даних наразі невідома.

Відповідальна група, названа Check Point «Scarred Manticore» і Cisco Talos «Shrouded Snooper», пов’язана з Міністерством розвідки та безпеки Ірану. Це збігається з відомим OilRig (він же APT34, MuddyWater, Crambus, Europium, Hazel Sandstorm), і деякі з його інструментів спостерігалися в подвійному програмному забезпеченні-вимагачі та стиральнику атаки на урядові системи Албанії у 2021. Але його найновіша зброя - фреймворк «Liontail», який використовує переваги недокументованих функцій драйвера HTTP.sys для отримання корисних даних із вхідного трафіку — це все своє.

«Це не просто окремі веб-оболонки, проксі-сервери чи стандартне шкідливе програмне забезпечення», — пояснює Сергій Шикевич, менеджер групи аналізу загроз у Check Point. «Це повномасштабна структура, дуже специфічна для своїх цілей».

Еволюція знарядь Потертої Мантікори

Scarred Manticore атакує вихідні в Інтернет сервери Windows у цінних організаціях на Близькому Сході принаймні з 2019 року.

Раніше він використовував модифіковану версію веб-оболонка Tunna з відкритим кодом. Розгалужений 298 разів на GitHub, Tunna продається як набір інструментів, які тунелюють зв’язок TCP через HTTP, обходячи мережеві обмеження та брандмауери.

З часом група внесла достатньо змін у Tunna, тому дослідники відстежили його під новою назвою «Foxshell». Він також використовував інші інструменти, наприклад бекдор на основі .NET, розроблений для серверів інформаційних служб Інтернету (IIS), вперше виявлено, але не вказано в лютому 2022 року.

Після Foxshell з’явилася остання, найкраща зброя групи: структура Liontail. Liontail — це набір користувальницьких завантажувачів кодів оболонки та корисних навантажень кодів оболонки, які є резидентними, тобто вони не містять файлів, записуються в пам’ять і тому залишають мало помітних слідів.

«Це дуже приховано, тому що немає великого шкідливого програмного забезпечення, яке легко виявити та запобігти», — пояснює Шикевич. Натомість «це переважно PowerShell, зворотні проксі-сервери, зворотні оболонки та дуже налаштовані для цілей».

Виявлення левиного хвоста

Однак найбільш прихованою функцією Liontail є те, як він викликає корисні навантаження за допомогою прямих викликів драйвера стеку Windows HTTP HTTP.sys. Вперше описано Cisco Talos у вересні, зловмисне програмне забезпечення фактично приєднується до сервера Windows, прослуховуючи, перехоплюючи та декодуючи повідомлення, які відповідають певним шаблонам URL-адрес, визначеним зловмисником.

По суті, за словами Йоава Мазора, керівника групи реагування на інциденти Sygnia, «вона поводиться як веб-оболонка, але жоден із традиційних журналів веб-оболонки не записується».

За словами Мазора, основними інструментами, які допомогли розкрити Scarred Manticore, були брандмауери веб-додатків і прослушування на рівні мережі. А Шикевич, зі свого боку, підкреслює важливість XDR для придушення таких складних операцій.

«Якщо у вас є належний захист кінцевої точки, ви можете захиститися від нього», — каже він. «Ви можете шукати кореляції між рівнем мережі та рівнем кінцевої точки — ви знаєте, аномалії трафіку з веб-оболонками та PowerShell у кінцевих пристроях. Це найкращий спосіб».