Спонсорований державою іранський загрозливий актор принаймні рік шпигував за цінними організаціями на Близькому Сході, використовуючи приховану структуру зловмисного програмного забезпечення з можливістю налаштування.
In звіт, опублікований 31 жовт, дослідники з Check Point і Sygnia охарактеризували кампанію як «значно більш витончену порівняно з попередніми заходами», пов’язаними з Іраном. Цілі наразі охоплювали урядовий, військовий, фінансовий, ІТ- і телекомунікаційний сектори в Ізраїлі, Іраку, Йорданії, Кувейті, Омані, Саудівській Аравії та Об’єднаних Арабських Еміратах. Точна природа викрадених даних наразі невідома.
Відповідальна група, названа Check Point «Scarred Manticore» і Cisco Talos «Shrouded Snooper», пов’язана з Міністерством розвідки та безпеки Ірану. Це збігається з відомим OilRig (він же APT34, MuddyWater, Crambus, Europium, Hazel Sandstorm), і деякі з його інструментів спостерігалися в подвійному програмному забезпеченні-вимагачі та стиральнику атаки на урядові системи Албанії у 2021. Але його найновіша зброя - фреймворк «Liontail», який використовує переваги недокументованих функцій драйвера HTTP.sys для отримання корисних даних із вхідного трафіку — це все своє.
«Це не просто окремі веб-оболонки, проксі-сервери чи стандартне шкідливе програмне забезпечення», — пояснює Сергій Шикевич, менеджер групи аналізу загроз у Check Point. «Це повномасштабна структура, дуже специфічна для своїх цілей».
Еволюція знарядь Потертої Мантікори
Scarred Manticore атакує вихідні в Інтернет сервери Windows у цінних організаціях на Близькому Сході принаймні з 2019 року.
Раніше він використовував модифіковану версію веб-оболонка Tunna з відкритим кодом. Розгалужений 298 разів на GitHub, Tunna продається як набір інструментів, які тунелюють зв’язок TCP через HTTP, обходячи мережеві обмеження та брандмауери.
З часом група внесла достатньо змін у Tunna, тому дослідники відстежили його під новою назвою «Foxshell». Він також використовував інші інструменти, наприклад бекдор на основі .NET, розроблений для серверів інформаційних служб Інтернету (IIS), вперше виявлено, але не вказано в лютому 2022 року.
Після Foxshell з’явилася остання, найкраща зброя групи: структура Liontail. Liontail — це набір користувальницьких завантажувачів кодів оболонки та корисних навантажень кодів оболонки, які є резидентними, тобто вони не містять файлів, записуються в пам’ять і тому залишають мало помітних слідів.
«Це дуже приховано, тому що немає великого шкідливого програмного забезпечення, яке легко виявити та запобігти», — пояснює Шикевич. Натомість «це переважно PowerShell, зворотні проксі-сервери, зворотні оболонки та дуже налаштовані для цілей».
Виявлення левиного хвоста
Однак найбільш прихованою функцією Liontail є те, як він викликає корисні навантаження за допомогою прямих викликів драйвера стеку Windows HTTP HTTP.sys. Вперше описано Cisco Talos у вересні, зловмисне програмне забезпечення фактично приєднується до сервера Windows, прослуховуючи, перехоплюючи та декодуючи повідомлення, які відповідають певним шаблонам URL-адрес, визначеним зловмисником.
По суті, за словами Йоава Мазора, керівника групи реагування на інциденти Sygnia, «вона поводиться як веб-оболонка, але жоден із традиційних журналів веб-оболонки не записується».
За словами Мазора, основними інструментами, які допомогли розкрити Scarred Manticore, були брандмауери веб-додатків і прослушування на рівні мережі. А Шикевич, зі свого боку, підкреслює важливість XDR для придушення таких складних операцій.
«Якщо у вас є належний захист кінцевої точки, ви можете захиститися від нього», — каже він. «Ви можете шукати кореляції між рівнем мережі та рівнем кінцевої точки — ви знаєте, аномалії трафіку з веб-оболонками та PowerShell у кінцевих пристроях. Це найкращий спосіб».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/dr-global/-scarred-manticore-unleashes-most-advanced-iranian-espionage
- : має
- :є
- : ні
- 2019
- 2021
- 7
- a
- через
- діяльності
- насправді
- просунутий
- Перевага
- проти
- ВСІ
- по
- Також
- та
- аномалії
- додаток
- арабська
- Арабські Емірати
- ЕСТЬ
- AS
- At
- Атакуючий
- закулісний
- оскільки
- було
- за
- КРАЩЕ
- між
- Великий
- але
- by
- Виклики
- прийшов
- Кампанія
- CAN
- Зміни
- характеризується
- перевірка
- Cisco
- зв'язку
- порівняний
- кореляції
- виготовлений на замовлення
- настроюється
- налаштувати
- кібер-
- дані
- Днів
- Декодування
- описаний
- призначений
- певний
- прилади
- прямий
- водій
- Раніше
- Схід
- легко
- ефект
- емірати
- підкреслює
- Кінцева точка
- досить
- шпигунство
- по суті
- еволюціонує
- Пояснює
- витяг
- знаменитий
- далеко
- особливість
- лютого
- фінансовий
- міжмережеві екрани
- для
- Рамки
- від
- повномасштабний
- функціональні можливості
- GitHub
- Уряд
- найбільший
- Group
- Мати
- he
- допоміг
- дуже
- його
- Як
- HTTP
- HTTPS
- ідентифікувати
- if
- Iis
- значення
- in
- інцидент
- реагування на інциденти
- Вхідний
- інформація
- замість
- Інтелект
- інтернет
- в
- Іран
- Іранський
- Ірак
- Ізраїль
- IT
- ЙОГО
- сам
- Jordan
- JPG
- просто
- Знати
- відомий
- Кувейт
- останній
- лідер
- найменш
- Залишати
- рівень
- як
- пов'язаний
- Прослуховування
- трохи
- подивитися
- made
- шкідливих програм
- менеджер
- узгодження
- сенс
- пам'ять
- повідомлення
- Середній
- середній Схід
- військовий
- служіння
- модифікований
- більше
- найбільш
- в основному
- ім'я
- природа
- мережу
- Нові
- новітній
- немає
- ніхто
- особливо
- жовтень
- of
- Оман
- on
- відкрити
- з відкритим вихідним кодом
- операції
- or
- організації
- Інше
- з
- власний
- частина
- моделі
- plato
- Інформація про дані Платона
- PlatoData
- точка
- PowerShell
- запобігати
- попередній
- первинний
- правильний
- захист
- публічно
- опублікований
- вимагачів
- RE
- звітом
- Дослідники
- відповідь
- відповідальний
- Обмеження
- показувати
- зворотний
- s
- Саудівська
- Саудівська Аравія
- говорить
- Сектори
- безпеку
- окремий
- сервер
- Сервери
- Послуги
- комплект
- Склад
- оповитий
- з
- деякі
- складний
- Source
- конкретний
- шпигунство
- стек
- standard
- крадькома
- вкрали
- такі
- SYS
- приймає
- талори
- натиснувши
- цілі
- команда
- зв'язок
- Що
- Команда
- Там.
- отже
- вони
- хоча?
- загроза
- Таким чином
- Зв'язаний
- час
- times
- до
- інструменти
- Трасування
- традиційний
- трафік
- тунель
- непокритий
- при
- United
- Об'єднана Арабська
- Об'єднані Арабські Емірати
- розв’язує
- URL
- використання
- використовуваний
- використання
- версія
- дуже
- через
- шлях..
- Web
- Веб-додаток
- були
- який
- windows
- з
- письмовий
- XDR
- рік
- ще
- Ти
- зефірнет