Se ha observado a un actor de amenazas afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS) librando una sofisticada campaña de ciberespionaje dirigida a los sectores financiero, gubernamental, militar y de telecomunicaciones en el Medio Oriente durante al menos un año.
La empresa israelí de ciberseguridad Check Point, que descubrió la campaña junto con Sygnia, está rastreando al actor con el nombre Mantícora marcadaque se dice que se superpone estrechamente con un grupo emergente denominado Storm-0861, uno de los cuatro grupos iraníes vinculados a ataques destructivos contra el gobierno albanés el año pasado.
Las víctimas de la operación se encuentran en varios países como Arabia Saudita, Emiratos Árabes Unidos, Jordania, Kuwait, Omán, Irak e Israel.
Scarred Manticore también muestra cierto grado de superposición con OilRig, otro grupo de estado-nación iraní que recientemente fue atribuido a un ataque a un gobierno anónimo de Medio Oriente entre febrero y septiembre de 2023 como parte de una campaña de ocho meses.
Se ha descubierto otro conjunto de superposiciones tácticas entre el adversario y un conjunto de intrusión cuyo nombre en código es ShroudedSnooper de Cisco Talos. Las cadenas de ataques orquestadas por el actor de amenazas han señalado a los proveedores de telecomunicaciones en el Medio Oriente utilizando una puerta trasera sigilosa conocida como HTTPSnoop.
La actividad representada por Scarred Manticore se caracteriza por el uso de un marco de malware pasivo previamente desconocido denominado LIONTAIL que se instala en servidores Windows. Se cree que el actor de amenazas está activo desde al menos 2019.
«Scarred Manticore ha estado persiguiendo objetivos de alto valor durante años, utilizando una variedad de puertas traseras basadas en IIS para atacar servidores Windows», investigadores de Check Point. dicho en un análisis del martes. «Estos incluyen una variedad de shells web personalizados, puertas traseras DLL personalizadas e implantes basados en controladores».
LIONTAIL, un malware avanzado, es una colección de cargadores de shellcode personalizados y cargas útiles de shellcode residentes en memoria. Un componente digno de mención del marco es un implante liviano pero sofisticado escrito en C que permite a los atacantes ejecutar comandos de forma remota a través de solicitudes HTTP.
Las secuencias de ataque implican infiltrarse en servidores Windows de acceso público para iniciar el proceso de entrega de malware y recopilar sistemáticamente datos confidenciales de los hosts infectados.
«En lugar de utilizar la API HTTP, el malware utiliza IOCTL para interactuar directamente con el controlador HTTP.sys subyacente», dijeron los investigadores, detallando el mecanismo de comando y control (C2).
«Este enfoque es más sigiloso ya que no involucra IIS o HTTP API, que generalmente son monitoreados de cerca por soluciones de seguridad, pero no es una tarea sencilla dado que los IOCTL para HTTP.sys no están documentados y requieren esfuerzos de investigación adicionales por parte de los actores de amenazas. «.
También se implementan junto con LIONTAIL varios shells web y una herramienta de reenvío web llamada LIONHEAD, un reenviador web.
La actividad histórica de Scarred Manticore indica una evolución continua del arsenal de malware del grupo, ya que el actor de amenazas anteriormente dependía de shells web como atún y una versión personalizada llamada FOXSHELL para acceso por puerta trasera.
Desde mediados de 2020, también se dice que el actor de amenazas ha utilizado una puerta trasera pasiva basada en .NET llamada SDD que establece comunicación C2 a través de un escucha HTTP en la máquina infectada con el objetivo final de ejecutar comandos arbitrarios, cargar y descargar archivos y ejecutar ensamblados .NET adicionales.
Las actualizaciones progresivas de las tácticas y herramientas del actor de amenazas son típicas de los grupos de amenazas persistentes avanzadas (APT) y demuestran sus recursos y habilidades variadas. Esto se ejemplifica mejor con el uso por parte de Scarred Manticore de un controlador de kernel malicioso llamado WINTAPIX que fue descubierto por Fortinet a principios de mayo.
En pocas palabras, WinTapix.sys actúa como un cargador para ejecutar la siguiente etapa del ataque, inyectando un código shell incrustado en un proceso de modo de usuario adecuado que, a su vez, ejecuta una carga útil .NET cifrada diseñada específicamente para apuntar a Microsoft Internet Information Services ( IIS) servidores.
El ataque a Israel se produce en medio de la La actual guerra entre Israel y Hamáslo que llevó a grupos hacktivistas poco sofisticados a atacar a varias organizaciones en el país, así como a naciones como India y Kenia, lo que sugiere que los actores-estado-nación dependen de operaciones de información destinadas a influir en la percepción global del conflicto.
«Los componentes del marco LIONTAIL comparten ofuscación y artefactos de cadena similares con los controladores FOXSHELL, SDD backdoor y WINTAPIX», afirmó Check Point.
«Al examinar la historia de sus actividades, resulta evidente hasta qué punto ha llegado el actor de amenazas en la mejora de sus ataques y su enfoque, que se basa en implantes pasivos».