이란의 국가 후원을 받는 위협 행위자가 은밀하고 사용자 정의 가능한 악성 코드 프레임워크를 사용하여 최소 XNUMX년 동안 중동 전역의 고부가가치 조직을 감시해 왔습니다.
In 31월 XNUMX일에 발표된 보고서, Check Point와 Sygnia의 연구원들은 이 캠페인이 이란과 관련된 "이전 활동에 비해 훨씬 더 정교하다"고 특징지었습니다. 지금까지 공격 대상은 이스라엘, 이라크, 요르단, 쿠웨이트, 오만, 사우디아라비아, 아랍에미리트의 정부, 군사, 금융, IT, 통신 부문에 걸쳐 있었습니다. 지금까지 도난당한 데이터의 정확한 성격은 공개적으로 알려지지 않았습니다.
Check Point가 "Scarred Manticore"로 추적하고 Cisco Talos가 "Shrouded Snooper"로 추적한 해당 그룹은 이란 정보보안부와 연결되어 있습니다. 유명한거랑 겹친다 OilRig(일명 APT34, MuddyWater, Crambus, Europium, Hazel Sandstorm), 이중 랜섬웨어와 와이퍼에서 일부 도구가 관찰되었습니다. 알바니아 정부 시스템에 대한 공격 2021년. 하지만 최신 무기 - HTTP.sys 드라이버의 문서화되지 않은 기능을 활용하여 들어오는 트래픽에서 페이로드를 추출하는 "Liontail" 프레임워크는 모두 자체 프레임워크입니다.
Check Point의 위협 인텔리전스 그룹 관리자인 Sergey Shykevich는 "단지 별도의 웹 셸, 프록시 또는 표준 악성 코드가 아닙니다."라고 설명합니다. "이것은 대상에 매우 구체적인 본격적인 프레임워크입니다."
상처받은 맨티코어의 진화하는 도구
Scarred Manticore는 적어도 2019년부터 중동의 고가치 조직에서 인터넷 연결 Windows 서버를 공격해 왔습니다.
초기에는 수정된 버전을 사용했습니다. 오픈 소스 웹 셸 Tunna. GitHub에서 298번 포크된 Tunna는 HTTP를 통해 TCP 통신을 터널링하고 네트워크 제한 사항과 방화벽을 우회하는 도구 세트로 판매됩니다.
시간이 지나면서 이 그룹은 Tunna를 충분히 변경하여 연구원들이 "Foxshell"이라는 새 이름으로 추적했습니다. 또한 IIS(인터넷 정보 서비스) 서버용으로 설계된 .NET 기반 백도어와 같은 다른 도구도 사용했습니다. 2022년 XNUMX월에 처음으로 발견되었지만 출처가 밝혀지지 않았습니다..
Foxshell 이후 그룹의 최신이자 가장 강력한 무기인 Liontail 프레임워크가 등장했습니다. Liontail은 메모리에 상주하는 사용자 정의 셸코드 로더 및 셸코드 페이로드 세트입니다. 즉, 파일이 없고 메모리에 기록되므로 식별할 수 있는 흔적이 거의 남지 않습니다.
Shykevich는 “식별하고 예방하기 쉬운 대규모 악성 코드가 없기 때문에 매우 은밀합니다.”라고 설명합니다. 대신 "대부분 PowerShell, 역방향 프록시, 역방향 셸이며 대상에 맞게 매우 맞춤화되어 있습니다."
라이온테일 탐지
하지만 Liontail의 가장 은밀한 기능은 Windows HTTP 스택 드라이버 HTTP.sys를 직접 호출하여 페이로드를 불러오는 방법입니다. 지난 XNUMX월 Cisco Talos에서 처음 설명함, 악성 코드는 기본적으로 Windows 서버에 연결되어 공격자가 결정한 특정 URL 패턴과 일치하는 메시지를 수신하고 가로채고 디코딩합니다.
실제로 Sygnia의 사고 대응 팀 리더인 Yoav Mazor는 "이는 웹 셸처럼 작동하지만 실제로는 기존 웹 셸 로그 중 어느 것도 작성되지 않습니다"라고 말합니다.
Mazor에 따르면 Scarred Manticore를 밝혀내는 데 도움이 된 주요 도구는 웹 애플리케이션 방화벽과 네트워크 수준 도청이었습니다. 그리고 Shykevich는 이러한 고급 작업을 차단하는 데 XDR의 중요성을 강조합니다.
“적절한 엔드포인트 보호 장치가 있다면 이를 방어할 수 있습니다.”라고 그는 말합니다. “네트워크 수준과 엔드포인트 수준 간의 상관 관계를 찾을 수 있습니다. 엔드포인트 장치의 웹 셸 및 PowerShell을 통한 트래픽의 이상 현상을 찾을 수 있습니다. 그게 가장 좋은 방법이에요.”
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/dr-global/-scarred-manticore-unleashes-most-advanced-iranian-espionage
