Een Advanced Persistent Threat (APT)-groep met banden met Iran heeft zijn malwaretoolset vernieuwd met een nieuwe achterdeur genaamd Marlin als onderdeel van een langlopende spionagecampagne die begon in april 2018.
Het Slowaakse cyberbeveiligingsbedrijf ESET schreef de aanvallen toe - codenaam “Op zee” — naar een dreigingsactor genaamd booreiland (ook bekend als APT34), terwijl het zijn activiteiten ook definitief verbindt met een tweede Iraanse groep die wordt gevolgd onder de naam Lyceum (hexaan oftewel SiameesKitten).
"Slachtoffers van de campagne zijn onder meer diplomatieke organisaties, technologiebedrijven en medische organisaties in Israël, Tunesië en de Verenigde Arabische Emiraten", merkte ESET op in zijn T3 2021 dreigingsrapport gedeeld met The Hacker News.
De hackgroep is actief sinds ten minste 2014 en staat erom bekend overheden in het Midden-Oosten en een verscheidenheid aan zakelijke verticale markten te treffen, waaronder chemie, energie, financiën en telecommunicatie. In april 2021 richtte de acteur zich op een Libanese entiteit met een implantaat genaamd SideTwist, terwijl campagnes die eerder aan Lyceum werden toegeschreven IT-bedrijven in Israël, Marokko, Tunesië en Saoedi-Arabië hebben uitgekozen.
De infectieketens van het Lyceum zijn ook opmerkelijk vanwege het feit dat ze zijn geëvolueerd om meerdere achterdeurtjes te laten vallen sinds de campagne in 2018 aan het licht kwam - te beginnen met DanBot en over te gaan naar Shark en Milaan in 2021 - met aanvallen die in augustus 2021 werden gedetecteerd en gebruikmakend van een nieuwe gegevensverzameling malware genaamd Marlin.
De veranderingen eindigen daar niet. In wat een belangrijke afwijking is van traditionele OilRig TTP's, waarbij DNS en HTTPS worden gebruikt voor command-and-control (C&C) communicatie, maakt Marlin gebruik van Microsoft's OneDrive API voor zijn C2-bewerkingen.
ESET merkte op dat de initiële toegang tot het netwerk werd bereikt door middel van spear-phishing, evenals externe toegang en beheersoftware zoals ITbrain en TeamViewer, noemde overeenkomsten in tools en tactieken tussen OilRig's backdoors en die van Lyceum als "te talrijk en specifiek. ”
"De ToneDeaf-achterdeur communiceerde voornamelijk met zijn C&C via HTTP/S, maar bevatte een secundaire methode, DNS-tunneling, die niet goed werkt", aldus de onderzoekers. "Shark heeft vergelijkbare symptomen, waarbij de primaire communicatiemethode DNS gebruikt, maar een niet-functionele secundaire HTTP/S-optie heeft."
Toondoof, dat het verzamelen van systeeminformatie, het uploaden en downloaden van bestanden en het uitvoeren van willekeurige shell-opdrachten ondersteunt, is een malwarefamilie die in juli 34 door de APT2019-acteur werd ingezet en gericht was op een breed scala van industrieën die actief zijn in het Midden-Oosten.
Bovendien wezen de bevindingen ook op het overlappende gebruik van DNS als een C&C-communicatiekanaal, terwijl ook HTTP/S als secundaire communicatiemethode wordt gebruikt en het gebruik van meerdere mappen in de werkmap van een achterdeur voor het uploaden en downloaden van bestanden van de C&C-server.
