Спонсируемый иранским государством злоумышленник шпионил за ценными организациями на Ближнем Востоке в течение как минимум года, используя скрытную, настраиваемую структуру вредоносного ПО.
In отчет опубликован 31 октябряИсследователи из Check Point и Sygnia охарактеризовали кампанию как «заметно более сложную по сравнению с предыдущими действиями», связанными с Ираном. На данный момент объектами атак являются правительственный, военный, финансовый, ИТ- и телекоммуникационный секторы в Израиле, Ираке, Иордании, Кувейте, Омане, Саудовской Аравии и Объединенных Арабских Эмиратах. Точная природа украденных данных пока неизвестна.
Ответственная группа, которую Check Point отслеживает как «Шрамированная Мантикора» и Cisco Talos как «Shrouded Snooper», связана с Министерством разведки и безопасности Ирана. Он пересекается со знаменитым OilRig (также известный как APT34, MuddyWater, Crambus, Europium, Hazel Sandstorm), а некоторые из его инструментов были обнаружены в двойной программе-вымогателе и Wiper нападения на правительственные системы Албании в 2021 году. Но его новейшее оружие - Фреймворк «Liontail», который использует недокументированные функции драйвера HTTP.sys для извлечения полезной нагрузки из входящего трафика, — полностью собственный.
«Это не просто отдельные веб-оболочки, прокси или стандартные вредоносные программы», — объясняет Сергей Шикевич, менеджер группы анализа угроз компании Check Point. «Это полномасштабная структура, очень специфичная для своих целей».
Инструменты развития израненной Мантикоры
Scarred Manticore атакует подключенные к Интернету серверы Windows в крупных организациях Ближнего Востока как минимум с 2019 года.
Раньше он использовал модифицированную версию веб-оболочка с открытым исходным кодом Tunna. Созданный 298 раз на GitHub, Tunna продается как набор инструментов, которые туннелируют TCP-коммуникации через HTTP, обходя при этом сетевые ограничения и брандмауэры.
Со временем группа внесла в Tunna достаточно изменений, и исследователи отследили ее под новым названием Foxshell. Он также использовал другие инструменты, такие как бэкдор на базе .NET, предназначенный для серверов служб IIS. впервые обнаружен, но не указан в феврале 2022 года..
После Foxshell появилось последнее, величайшее оружие группы: фреймворк Liontail. Liontail — это набор пользовательских загрузчиков шелл-кода и полезных данных шелл-кода, которые являются резидентными в памяти, то есть не содержат файлов, записываются в память и поэтому оставляют после себя мало заметных следов.
«Это очень скрытно, поскольку не существует крупных вредоносных программ, которые можно было бы легко идентифицировать и предотвратить», — объясняет Шикевич. Вместо этого «в основном это PowerShell, обратные прокси, обратные оболочки и очень адаптированные к целям».
Обнаружение Львинохвоста
Однако самой скрытной особенностью Liontail является то, как он вызывает полезные данные с помощью прямых вызовов драйвера стека Windows HTTP HTTP.sys. Впервые описано Cisco Talos в сентябре.Вредоносное ПО по существу прикрепляется к серверу Windows, прослушивая, перехватывая и декодируя сообщения, соответствующие определенным шаблонам URL-адресов, определенным злоумышленником.
По сути, говорит Йоав Мазор, руководитель группы реагирования на инциденты компании Sygnia, «он ведет себя как веб-оболочка, но ни один из традиционных журналов веб-оболочки на самом деле не записывается».
По словам Мазора, основными инструментами, которые помогли обнаружить Scarred Manticore, были брандмауэры веб-приложений и прослушивание на уровне сети. А Шикевич, со своей стороны, подчеркивает важность XDR для подавления таких сложных операций.
«Если у вас есть надежная защита конечных точек, вы можете защититься от нее», — говорит он. «Можно искать корреляции между уровнем сети и уровнем конечных точек — ну, знаете, аномалии в трафике с веб-шеллами и PowerShell на конечных устройствах. Это лучший способ».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/dr-global/-scarred-manticore-unleashes-most-advanced-iranian-espionage