İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı bir tehdit aktörünün, en az bir yıldır Orta Doğu’daki finans, hükümet, askeri ve telekomünikasyon sektörlerini hedef alan karmaşık bir siber casusluk kampanyası yürüttüğü gözlemlendi.
Kampanyayı Sygnia ile birlikte keşfeden İsrailli siber güvenlik firması Check Point, aktörü bu isim altında takip ediyor Yaralı MantikorGeçen yıl Arnavutluk hükümetine yönelik yıkıcı saldırılarla bağlantılı dört İranlı gruptan biri olan Storm-0861 adlı yeni ortaya çıkan kümeyle yakından örtüştüğü söyleniyor.
Operasyonun kurbanları Suudi Arabistan, Birleşik Arap Emirlikleri, Ürdün, Kuveyt, Umman, Irak ve İsrail gibi çeşitli ülkeleri kapsıyor.
Scarred Manticore ayrıca, yakın zamanda sekiz ay süren bir kampanyanın parçası olarak Şubat ve Eylül 2023 arasında isimsiz bir Orta Doğu hükümetine düzenlenen saldırıya atfedilen başka bir İran ulus devleti ekibi olan OilRig ile bir dereceye kadar örtüşme gösteriyor.
Düşman ile Cisco Talos’un ShroudedSnooper kod adlı izinsiz giriş seti arasında başka bir taktiksel örtüşme seti keşfedildi. Tehdit aktörü tarafından düzenlenen saldırı zincirleri, Orta Doğu’daki telekomünikasyon sağlayıcılarını HTTPSnoop olarak bilinen gizli bir arka kapı kullanarak belirledi.
Scarred Manticore tarafından temsil edilen etkinlik, Windows sunucularına yüklenen ve LIONTAIL olarak adlandırılan, önceden bilinmeyen bir pasif kötü amaçlı yazılım çerçevesinin kullanılmasıyla karakterize edilir. Tehdit aktörünün en az 2019’dan beri aktif olduğuna inanılıyor.
Check Point araştırmacıları “Scarred Manticore, Windows sunucularına saldırmak için çeşitli IIS tabanlı arka kapılar kullanarak yıllardır yüksek değerli hedeflerin peşinde koşuyor.” söz konusu Salı günü yapılan bir analizde. “Bunlar çeşitli özel web kabuklarını, özel DLL arka kapılarını ve sürücü tabanlı implantları içerir.”
Gelişmiş bir kötü amaçlı yazılım parçası olan LIONTAIL, özel kabuk kodu yükleyicileri ve bellekte yerleşik kabuk kodu yüklerinden oluşan bir koleksiyondur. Çerçevenin dikkate değer bir bileşeni, saldırganların HTTP istekleri aracılığıyla komutları uzaktan yürütmesine olanak tanıyan, C dilinde yazılmış hafif ancak gelişmiş bir implanttır.
Saldırı dizileri, kötü amaçlı yazılım dağıtım sürecini başlatmak ve virüslü ana bilgisayarlardan hassas verileri sistematik olarak toplamak için halka açık Windows sunucularına sızmayı gerektirir.
Araştırmacılar, komuta ve kontrol (C2) mekanizmasını detaylandırarak, “Kötü amaçlı yazılım, HTTP API’sini kullanmak yerine, temeldeki HTTP.sys sürücüsüyle doğrudan etkileşim kurmak için IOCTL’leri kullanıyor.” dedi.
“Bu yaklaşım, genellikle güvenlik çözümleri tarafından yakından izlenen IIS veya HTTP API’yi içermediğinden daha gizlidir ancak HTTP.sys için IOCTL’lerin belgelenmemiş olması ve tehdit aktörleri tarafından ek araştırma çabaları gerektirmesi göz önüne alındığında basit bir görev değildir. “
LIONTAIL ile birlikte ayrıca çeşitli web kabukları ve bir web iletici olan LIONHEAD adı verilen bir web iletici aracı da bulunmaktadır.
Scarred Manticore’un tarihsel faaliyeti, grubun kötü amaçlı yazılım cephaneliğinin sürekli bir evrim geçirdiğini gösteriyor; tehdit aktörü daha önce aşağıdaki gibi web kabuklarına güveniyordu: Ton balığı ve arka kapı erişimi için FOXSHELL adı verilen özel bir versiyon.
Tehdit aktörünün 2020 ortasından bu yana .NET tabanlı pasif bir arka kapı kullandığı da söyleniyor. SDD Bu, rastgele komutların yürütülmesi, dosyaların yüklenmesi ve indirilmesi ve ek .NET derlemelerinin çalıştırılması nihai hedefiyle, virüs bulaşmış makinedeki bir HTTP dinleyicisi aracılığıyla C2 iletişimi kurar.
Tehdit aktörünün taktikleri ve araçlarına yönelik aşamalı güncellemeler, gelişmiş kalıcı tehdit (APT) gruplarının tipik bir örneğidir ve onların kaynaklarını ve çeşitli becerilerini gösterir. Bunun en iyi örneği, Scarred Manticore’un bu Mayıs ayı başlarında Fortinet tarafından ortaya çıkarılan WINTAPIX adlı kötü amaçlı bir çekirdek sürücüsünü kullanmasıdır.
Özetle, WinTapix.sys, saldırının bir sonraki aşamasını yürütmek için bir yükleyici görevi görür ve uygun bir kullanıcı modu işlemine gömülü bir kabuk kodu enjekte eder ve bu da, özellikle Microsoft Internet Information Services’ı hedeflemek için tasarlanmış şifrelenmiş bir .NET yükünü yürütür ( IIS) sunucuları.
İsrail’in hedef alınması tam da bu noktada ortaya çıkıyor Devam eden İsrail-Hamas savaşıBu, düşük düzeyde bilgi birikimine sahip hacktivist grupları ülkedeki çeşitli kuruluşların yanı sıra Hindistan ve Kenya gibi ülkelere saldırmaya teşvik ederek, ulus devlet aktörlerinin çatışmanın küresel algısını etkilemeyi amaçlayan bilgi operasyonlarına güvendiklerini gösteriyor.
Check Point, “LIONTAIL çerçeve bileşenlerinin FOXSHELL, SDD arka kapısı ve WINTAPIX sürücüleriyle benzer gizleme ve dizi yapılarını paylaştığını” söyledi.
“Faaliyetlerinin geçmişi incelendiğinde, tehdit aktörünün saldırılarını iyileştirme ve pasif implantlara dayanan yaklaşımlarını geliştirme konusunda ne kadar ileri gittiği açıkça görülüyor.”