Un acteur menaçant affilié au ministère iranien du Renseignement et de la Sécurité (Vevak) a été observé en train de mener une campagne sophistiquée de cyberespionnage ciblant les secteurs financier, gouvernemental, militaire et des télécommunications au Moyen-Orient depuis au moins un an.
La société israélienne de cybersécurité Check Point, qui a découvert la campagne aux côtés de Sygnia, traque l’acteur sous le nom Manticore balafréequi chevaucherait étroitement un cluster émergent baptisé Storm-0861, l’un des quatre groupes iraniens liés aux attaques destructrices contre le gouvernement albanais l’année dernière.
Les victimes de l’opération proviennent de divers pays tels que l’Arabie saoudite, les Émirats arabes unis, la Jordanie, le Koweït, Oman, l’Irak et Israël.
Scarred Manticore présente également un certain degré de chevauchement avec OilRig, un autre équipage d’État-nation iranien qui a récemment été attribué à une attaque contre un gouvernement anonyme du Moyen-Orient entre février et septembre 2023 dans le cadre d’une campagne de huit mois.
Un autre ensemble de chevauchements tactiques a été découvert entre l’adversaire et un ensemble d’intrusions nommé ShroudedSnooper par Cisco Talos. Les chaînes d’attaques orchestrées par l’acteur malveillant ont ciblé les fournisseurs de télécommunications au Moyen-Orient à l’aide d’une porte dérobée furtive connue sous le nom de HTTPSnoop.
L’activité représentée par Scarred Manticore se caractérise par l’utilisation d’un cadre de malware passif jusqu’alors inconnu, appelé LIONTAIL, installé sur les serveurs Windows. On pense que l’acteur menaçant est actif depuis au moins 2019.
« Scarred Manticore poursuit des cibles de grande valeur depuis des années, en utilisant diverses portes dérobées basées sur IIS pour attaquer les serveurs Windows », ont déclaré les chercheurs de Check Point. dit dans une analyse de mardi. « Ceux-ci incluent une variété de shells Web personnalisés, de portes dérobées DLL personnalisées et d’implants basés sur des pilotes. »
Un logiciel malveillant avancé, LIONTAIL est une collection de chargeurs de shellcode personnalisés et de charges utiles de shellcode résident en mémoire. Un composant remarquable du framework est un implant léger mais sophistiqué écrit en C qui permet aux attaquants d’exécuter des commandes à distance via des requêtes HTTP.
Les séquences d’attaque consistent à infiltrer des serveurs Windows publics pour lancer le processus de diffusion de logiciels malveillants et collecter systématiquement des données sensibles sur les hôtes infectés.
« Au lieu d’utiliser l’API HTTP, le malware utilise les IOCTL pour interagir directement avec le pilote HTTP.sys sous-jacent », ont expliqué les chercheurs, détaillant le mécanisme de commande et de contrôle (C2).
« Cette approche est plus furtive car elle n’implique pas IIS ou l’API HTTP, qui sont généralement étroitement surveillées par les solutions de sécurité, mais n’est pas une tâche simple étant donné que les IOCTL pour HTTP.sys ne sont pas documentées et nécessitent des efforts de recherche supplémentaires de la part des acteurs de la menace. « .
Sont également déployés aux côtés de LIONTAIL divers shells Web et un outil de transfert Web appelé LIONHEAD, un redirecteur Web.
L’activité historique de Scarred Manticore indique une évolution continue de l’arsenal malveillant du groupe, l’acteur malveillant s’appuyant auparavant sur des shells Web tels que Thon et une version sur mesure appelée FOXSHELL pour l’accès par porte dérobée.
Depuis le milieu de l’année 2020, l’acteur malveillant aurait également utilisé une porte dérobée passive basée sur .NET appelée SDD qui établit une communication C2 via un écouteur HTTP sur la machine infectée dans le but ultime d’exécuter des commandes arbitraires, de charger et de télécharger des fichiers et d’exécuter des assemblys .NET supplémentaires.
Les mises à jour progressives des tactiques et des outils des acteurs malveillants sont typiques des groupes de menaces persistantes avancées (APT) et démontrent leurs ressources et leurs compétences variées. Le meilleur exemple en est l’utilisation par Scarred Manticore d’un pilote de noyau malveillant appelé WINTAPIX, découvert par Fortinet plus tôt en mai.
En un mot, WinTapix.sys agit comme un chargeur pour exécuter l’étape suivante de l’attaque, en injectant un shellcode intégré dans un processus en mode utilisateur approprié qui, à son tour, exécute une charge utile .NET cryptée spécialement conçue pour cibler Microsoft Internet Information Services ( IIS).
Le ciblage d’Israël intervient au milieu d’un Guerre en cours entre Israël et le Hamasincitant des groupes hacktivistes peu sophistiqués à attaquer diverses organisations dans le pays, ainsi que dans des pays comme l’Inde et le Kenya, suggérant que les acteurs étatiques s’appuient sur des opérations d’information visant à influencer la perception mondiale du conflit.
« Les composants du framework LIONTAIL partagent des artefacts d’obscurcissement et de chaîne similaires avec les pilotes FOXSHELL, SDD backdoor et WINTAPIX », a déclaré Check Point.
« En examinant l’historique de leurs activités, il devient évident à quel point l’acteur menaçant a progressé dans l’amélioration de ses attaques et dans le renforcement de son approche qui repose sur des implants passifs. »