Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

'Scarred Manticore' giải phóng hoạt động gián điệp mạng tiên tiến nhất của Iran

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 191

Một kẻ đe dọa được nhà nước Iran bảo trợ đã theo dõi các tổ chức có giá trị cao trên khắp Trung Đông trong ít nhất một năm, sử dụng khuôn khổ phần mềm độc hại lén lút, có thể tùy chỉnh.

In một báo cáo được công bố vào ngày 31 tháng XNUMXCác nhà nghiên cứu từ Check Point và Sygnia đã mô tả chiến dịch này “tinh vi hơn đáng kể so với các hoạt động trước đây” gắn liền với Iran. Các mục tiêu cho đến nay đã mở rộng sang các lĩnh vực chính phủ, quân sự, tài chính, CNTT và viễn thông ở Israel, Iraq, Jordan, Kuwait, Oman, Ả Rập Saudi và Các Tiểu vương quốc Ả Rập Thống nhất. Bản chất chính xác của dữ liệu bị đánh cắp cho đến nay vẫn chưa được công khai.

Nhóm chịu trách nhiệm – được Check Point theo dõi là “Scarred Manticore” và “Shrouded Snooper” của Cisco Talos – được liên kết với Bộ Tình báo và An ninh Iran. Nó trùng lặp với sự nổi tiếng OilRig (còn gọi là APT34, MuddyWater, Crambus, Europium, Hazel Sandstorm), và một số công cụ của nó đã được quan sát thấy trong một ransomware kép và một trình quét sạch tấn công vào hệ thống chính phủ Albania vào năm 2021. Nhưng vũ khí mới nhất của nó - khung “Liontail”, tận dụng các chức năng không có giấy tờ của trình điều khiển HTTP.sys để trích xuất tải trọng từ lưu lượng truy cập đến - hoàn toàn là của riêng nó.

Sergey Shykevich, người quản lý nhóm tình báo mối đe dọa tại Check Point giải thích: “Nó không chỉ là các Web shell, proxy hay phần mềm độc hại tiêu chuẩn riêng biệt”. “Đó là một khuôn khổ toàn diện, rất cụ thể cho các mục tiêu của nó.”

Công cụ tiến hóa của Scarred Manticore

Scarred Manticore đã tấn công các máy chủ Windows truy cập Internet tại các tổ chức có giá trị cao ở Trung Đông ít nhất kể từ năm 2019.

Trong những ngày đầu, nó sử dụng một phiên bản sửa đổi của Web shell mã nguồn mở Tunna. Được phân nhánh 298 lần trên GitHub, Tunna được tiếp thị như một bộ công cụ giúp truyền thông TCP qua HTTP, vượt qua các hạn chế mạng và tường lửa trong quá trình thực hiện.

Theo thời gian, nhóm đã thực hiện đủ các thay đổi đối với Tunna đến mức các nhà nghiên cứu đã theo dõi nó dưới cái tên mới “Foxshell”. Nó cũng sử dụng các công cụ khác, như backdoor dựa trên .NET được thiết kế cho các máy chủ Dịch vụ Thông tin Internet (IIS), lần đầu tiên được phát hiện nhưng không được ghi nhận vào tháng 2022 năm XNUMX.

Sau Foxshell là vũ khí mạnh nhất, mới nhất của nhóm: khung Liontail. Liontail là một tập hợp các trình tải shellcode tùy chỉnh và tải trọng shellcode nằm trong bộ nhớ, nghĩa là chúng không có tệp, được ghi vào bộ nhớ và do đó để lại rất ít dấu vết rõ ràng.

Shykevich giải thích: “Nó có khả năng tàng hình cao vì không có phần mềm độc hại lớn nào có thể dễ dàng xác định và ngăn chặn”. Thay vào đó, “chủ yếu là PowerShell, proxy ngược, shell đảo ngược và rất được tùy chỉnh cho phù hợp với mục tiêu”.

Phát hiện đuôi sư tử

Tuy nhiên, tính năng lén lút nhất của Liontail là cách nó gợi lên tải trọng bằng các lệnh gọi trực tiếp đến trình điều khiển ngăn xếp HTTP HTTP.sys của Windows. Được mô tả lần đầu tiên bởi Cisco Talos vào tháng XNUMX, về cơ bản phần mềm độc hại sẽ tự gắn vào máy chủ Windows, lắng nghe, chặn và giải mã các tin nhắn khớp với các mẫu URL cụ thể do kẻ tấn công xác định.

Trên thực tế, Yoav Mazor, trưởng nhóm ứng phó sự cố của Sygnia cho biết, “nó hoạt động giống như một Web shell, nhưng không có nhật ký Web shell truyền thống nào thực sự được viết”.

Theo Mazor, công cụ chính giúp phát hiện Scarred Manticore là tường lửa ứng dụng Web và khai thác cấp độ mạng. Và về phần mình, Shykevich nhấn mạnh tầm quan trọng của XDR trong việc loại bỏ các hoạt động tiên tiến như vậy.

Ông nói: “Nếu bạn có biện pháp bảo vệ điểm cuối thích hợp, bạn có thể chống lại nó. “Bạn có thể tìm kiếm mối tương quan giữa cấp độ mạng và cấp độ điểm cuối - bạn biết đấy, những điểm bất thường trong lưu lượng truy cập với Web shell và PowerShell trong các thiết bị điểm cuối. Đó là cách tốt nhất.”

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.