È stato osservato l’attore di minaccia iran-sexus noto come UNC2428 che offre una backdoor nota come MurkyTour Come parte di una campagna di ingegneria sociale a tema di lavoro rivolta a Israele nell’ottobre 2024.
Mandiant di proprietà di Google ha descritto l’UNC2428 come un attore di minaccia in linea con l’Iran che si impegna in operazioni relative allo spionaggio informatico. Si cube che il set di intrusioni abbia distribuito il malware attraverso una “catena complessa di tecniche di inganno”.
“La campagna di ingegneria sociale dell’UNC2428 ha preso di mira le persone mentre si presentano come opportunità di reclutamento dall’appaltatore israeliano della difesa, Rafael”, la società disse Nel suo rapporto annuale di tendenze M per il 2025.
Le persone che hanno espresso interesse sono state reindirizzate a un sito che ha impersonato Rafael, da dove è stato chiesto di scaricare uno strumento per aiutare a richiedere il lavoro.
Lo strumento (“rafaelonnect.exe”) period un programma di installazione soprannominato Lonefleet che, una volta lanciato, presentava un’interfaccia utente grafica (GUI) alla vittima per inserire le loro informazioni personali e inviare il loro curriculum.
Una volta presentato, il backdoor di MurkyTour è stato lanciato come processo di fondo per mezzo di un lanciatore chiamato Leafpile, concedendo agli aggressori l’accesso persistente alla macchina compromessa.
“Gli attori delle minacce Iran-Sexus hanno incorporato le interfacce utente grafiche (GUI) per mascherare l’esecuzione e l’installazione del malware come applicazioni o software program legittimi”, ha affermato Mandiant. “L’aggiunta di una GUI che presenta all’utente un tipico installatore ed è configurata per imitare la forma e la funzione dell’esca utilizzata può ridurre i sospetti da individui mirati.”
Vale la pena ricordare che la campagna sovrapposizioni Con l’attività che la direzione cyber nazionale israeliana ha attribuito a un attore di minaccia iraniano di nome Black Shadow.
Valutata di operare per conto del Ministero iraniano dell’Intelligence and Safety (MOIS), il gruppo di hacking è noto per aver preso di mira una vasta gamma di verticali del settore in Israele, tra cui accademia, turismo, comunicazioni, finanza, trasporto, sanità, governo e tecnologia.
Per mandiant, UNC2428 è uno dei tanti cluster di attività di minaccia iraniane che hanno addestrato i loro occhi su Israele nel 2024. Un gruppo di spicco è Cyber Toufanche ha preso di mira gli utenti con sede a Israele con il tergicristallo Pokybight proprietario.
L’UNC3313 è un altro gruppo di minacce Iran-Set che ha condotto operazioni di sorveglianza e di raccolta di informazioni strategiche tramite campagne di phishing delle lance. UNC3313si ritiene che documentata per la prima volta dalla società nel febbraio 2022 Muddywater.
“L’attore di minaccia ha ospitato malware su servizi di condivisione di file popolari e collegamenti incorporati all’interno delle esche per il phishing a tema di formazione e webinar”, ha affermato Mandiant. “In una di queste campagne, l’UNC3313 ha distribuito il backdoor di Jellybean Drouper e Candybox alle organizzazioni e agli individui presi di mira dalle loro operazioni di phishing.”
Gli attacchi montati dall’UNC3313 si sono appoggiati pesantemente su un numero di strumenti di monitoraggio e gestione remoti legittimi (RMM), a tattica di firma del gruppo Muddywater, nel tentativo di scongiurare gli sforzi di rilevamento e fornire un persistente accesso remoto.
La società di intelligence delle minacce ha anche affermato di aver osservato nel luglio 2024 un sospetto avversario legato all’Iran che distribuisce un cactuspal in codice backdoor trasmettendolo come installatore per il software program di accesso remoto GlobalProtect di Palo Alto Networks.
La procedura guidata di installazione, al momento del lancio, distribuisce furtivamente il backdoor .NET che, a sua volta, verifica che solo un’istanza del processo sia in esecuzione prima che comunichi con un server di comando e controllo (C2) esterno.
Nonostante gli strumenti RMM, nonostante gli attori delle minacce iraniane come UNC1549 sono stati anche osservati adottare misure per incorporare l’infrastruttura cloud nel loro marchio in modo da garantire che le loro azioni si fondono con i servizi prevalenti negli ambienti aziendali.
“Oltre a tecniche come il tipografi e il riutilizzo del dominio, gli attori delle minacce hanno scoperto che l’internet hosting di nodi C2 o i payload sull’infrastruttura cloud e l’utilizzo di domini nativi cloud riduce il controllo che può essere applicato alle loro operazioni”, ha affermato Mandiant.
Qualsiasi comprensione del panorama delle minacce iraniane è incompleta senza APT42 (aka Kitten affascinante), che è conosciuto Per i suoi elaborati sforzi di ingegneria sociale e costruzione di rapporti per raccogliere le credenziali e fornire malware su misura per l’esfiltrazione di dati.
L’attore delle minacce, per mandiant, ha distribuito pagine di accesso false mascherate da Google, Microsoft e Yahoo! Come parte delle loro campagne di raccolta delle credenziali, utilizzando Google Websites e Dropbox per indirizzare gli obiettivi per false Google Meet Touchdown Pages o Pagine di accesso.
Complessivamente, la società di sicurezza informatica ha dichiarato di aver identificato più di 20 famiglie di malware proprietarie – tra cui autocrome, downloars e backdoor – usate dagli attori iraniani nelle campagne in Medio Oriente nel 2024. Due dei backdoor identificati, Dodgylaffa e RamparPrize, sono stati impiegati da Apt34 (aka Oilrig) In attacchi colpiti dalle entità governative irachene.
“Mentre gli attori della minaccia Iran-Sega continuano a perseguire le operazioni informatiche che si allineano agli interessi del regime iraniano, modificheranno le loro metodologie per adattarsi all’attuale panorama della sicurezza”, ha affermato Mandiant.
