กลุ่มจารกรรมทางไซเบอร์ของอิหร่านตั้งเป้าไปที่ภาคการเงินและภาครัฐในตะวันออกกลาง

ผู้คุกคามที่เกี่ยวข้องกับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS) ได้รับการสังเกตเห็นว่ากำลังดำเนินการจารกรรมทางไซเบอร์ที่ซับซ้อนโดยกำหนดเป้าหมายไปที่ภาคการเงิน รัฐบาล ทหาร และโทรคมนาคมในตะวันออกกลางเป็นเวลาอย่างน้อยหนึ่งปี

Check Point บริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอล ซึ่งค้นพบแคมเปญนี้ร่วมกับ Sygnia กำลังติดตามนักแสดงภายใต้ชื่อ Scarred Manticore ซึ่งได้รับการกล่าวขานว่ามีความทับซ้อนกันอย่างใกล้ชิดกับคลัสเตอร์ที่เกิดขึ้นใหม่ซึ่งมีชื่อว่า Storm-0861 ซึ่งเป็นหนึ่งในสี่กลุ่มอิหร่านที่เชื่อมโยงกับการโจมตีแบบทำลายล้าง รัฐบาลแอลเบเนียเมื่อปีที่แล้ว

เหยื่อของปฏิบัติการดังกล่าวครอบคลุมหลายประเทศ เช่น ซาอุดีอาระเบีย สหรัฐอาหรับเอมิเรตส์ จอร์แดน คูเวต โอมาน อิรัก และอิสราเอล

Scarred Manticore ยังแสดงให้เห็นถึงความทับซ้อนกันในระดับหนึ่งกับ OilRig ซึ่งเป็นทีมงานรัฐชาติอิหร่านอีกรายที่เพิ่งมีสาเหตุมาจากการโจมตีรัฐบาลตะวันออกกลางที่ไม่มีชื่อระหว่างเดือนกุมภาพันธ์ถึงกันยายน พ.ศ. 2566 โดยเป็นส่วนหนึ่งของการรณรงค์ระยะเวลาแปดเดือน

“แทนที่จะใช้ HTTP API มัลแวร์จะใช้ IOCTL เพื่อโต้ตอบโดยตรงกับไดรเวอร์ HTTP.sys ที่เกี่ยวข้อง” นักวิจัยกล่าว โดยให้รายละเอียดเกี่ยวกับกลไกคำสั่งและการควบคุม (C2)

“วิธีนี้เป็นวิธีที่ซ่อนเร้นกว่าเนื่องจากไม่เกี่ยวข้องกับ IIS หรือ HTTP API ซึ่งโดยปกติจะได้รับการตรวจสอบอย่างใกล้ชิดโดยโซลูชั่นความปลอดภัย แต่ไม่ใช่งานที่ตรงไปตรงมาเนื่องจาก IOCTL สำหรับ HTTP.sys นั้นไม่มีเอกสารและต้องการความพยายามในการวิจัยเพิ่มเติมจากผู้แสดงภัยคุกคาม ”

จากมุมมองทางเทคนิค ด้านหนึ่งที่น่าสนใจของการดำเนินการคือผู้ก่อภัยคุกคามใช้อุปกรณ์ฝังที่ออกแบบเฉพาะสำหรับเซิร์ฟเวอร์แต่ละเครื่องที่ถูกบุกรุก ช่วยให้กิจกรรมที่เป็นอันตรายผสมผสานเข้ากับสภาพแวดล้อมของเหยื่อ และทำให้ยากต่อการแยกแยะระหว่างการรับส่งข้อมูลเครือข่ายที่น่าสงสัยและถูกต้องตามกฎหมาย

นอกจากนี้ ยังใช้งานควบคู่ไปกับ LIONTAIL รวมถึงเว็บเชลล์ต่างๆ และเครื่องมือส่งต่อเว็บที่เรียกว่า LIONHEAD ซึ่งเป็นเครื่องมือส่งต่อเว็บ

กิจกรรมในอดีตของ Scarred Manticore บ่งชี้ถึงวิวัฒนาการอย่างต่อเนื่องของคลังแสงมัลแวร์ของกลุ่ม โดยสิ่งที่ผู้คุกคามเคยอาศัย Web Shell เช่นTunnaและเวอร์ชันเฉพาะที่เรียกว่า FOXSHELL สำหรับการเข้าถึงแบ็คดอร์

ตั้งแต่กลางปี ​​2020 ผู้คุกคามยังกล่าวอีกว่าได้ใช้แบ็คดอร์แบบพาสซีฟบน .NET ที่เรียกว่าSDDซึ่งสร้างการสื่อสาร C2 ผ่านตัวฟัง HTTP บนเครื่องที่ติดไวรัสโดยมีเป้าหมายสูงสุดในการรันคำสั่งตามอำเภอใจ การอัพโหลดและดาวน์โหลดไฟล์ และ ใช้งานแอสเซมบลี .NET เพิ่มเติม

การอัปเดตกลยุทธ์และเครื่องมือของผู้แสดงภัยคุกคามอย่างต่อเนื่องเป็นเรื่องปกติของกลุ่มภัยคุกคามถาวรขั้นสูง (APT) และแสดงให้เห็นถึงทรัพยากรและทักษะที่หลากหลาย นี่เป็นตัวอย่างที่ดีที่สุดโดยการใช้ไดรเวอร์เคอร์เนลที่เป็นอันตรายของ Scarred Manticore ที่เรียกว่าWINTAPIXซึ่ง Fortinet ค้นพบเมื่อต้นเดือนพฤษภาคมนี้

โดยสรุป WinTapix.sys ทำหน้าที่เป็นตัวโหลดเพื่อดำเนินการขั้นตอนต่อไปของการโจมตี โดยการฉีดเชลล์โค้ดแบบฝังเข้าไปในกระบวนการโหมดผู้ใช้ที่เหมาะสม ซึ่งในทางกลับกัน จะดำเนินการเพย์โหลด .NET ที่เข้ารหัส ซึ่งออกแบบมาโดยเฉพาะเพื่อกำหนดเป้าหมาย Microsoft Internet Information Services ( IIS) เซิร์ฟเวอร์

การกำหนดเป้าหมายของอิสราเอลเกิดขึ้นท่ามกลางสงครามอิสราเอล-ฮามาสที่กำลังดำเนินอยู่ทำให้กลุ่มแฮ็กทีวิสต์ที่มีความซับซ้อนต่ำโจมตีองค์กรต่างๆ ในประเทศ เช่นเดียวกับประเทศต่างๆ เช่น อินเดีย และเคนยา โดยเสนอแนะว่าผู้มีบทบาทของรัฐชาติต้องพึ่งพาการดำเนินการด้านข้อมูลที่มุ่งเป้าไปที่อิทธิพลต่ออิสราเอล การรับรู้ทั่วโลกเกี่ยวกับความขัดแย้ง

สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ออกแถลงการณ์ต่อคณะกรรมการวุฒิสภาด้านความมั่นคงแห่งมาตุภูมิและกิจการของรัฐ (HSGAC) เมื่อต้นสัปดาห์นี้เตือนว่าสถานการณ์ดังกล่าวมีศักยภาพที่จะทำให้ “การกำหนดเป้าหมายทางไซเบอร์เพื่อผลประโยชน์ของอเมริกาและโครงสร้างพื้นฐานที่สำคัญ” แย่ลง โดยอิหร่านและนักแสดงที่ไม่ใช่รัฐเหมือนกัน

“ส่วนประกอบของเฟรมเวิร์ก LIONTAIL แบ่งปันการสร้างความสับสนและการสร้างสตริงที่คล้ายคลึงกันกับ FOXSHELL, SDD backdoor และไดรเวอร์ WINTAPIX” Check Point กล่าว

“เมื่อพิจารณาประวัติความเป็นมาของกิจกรรมของพวกเขา จะเห็นได้ชัดว่าผู้ก่อภัยคุกคามพัฒนาการโจมตีและปรับปรุงวิธีการของตนซึ่งอาศัยการปลูกถ่ายแบบพาสซีฟได้ไกลแค่ไหน”

Article : https://thehackernews.com/2023/11/iranian-cyber-espionage-group-targets.html

================================================================

ขอบคุณค่ะ