گروه ایرانی Scarred Manticore، خاورمیانه را با بدافزار LIONTAIL هدف قرار میدهد
اخبار داغ فناوری اطلاعات و امنیت شبکه
گروه Scarred Manticore سازمانهای مطرحی را هدف قرار میدهد که مشخصا بر ارتباطات راه دور، نظامی و نهادهای دولتی جدای از موسسات مالی، ارائهدهندگان خدمات فناوری اطلاعات و سازمانهای غیردولتی تمرکز دارند.
مجموعه Check Point Research و تیم پاسخگویی به حوادث Sygnia در ادعاهای خود، یک کمپین جاسوسی جدید ایرانی را که با گروه تهدید Scarred Manticore مرتبط است، کشف کردهاند.
در گزارش فنی چکپوینت ریسرچ با عنوان «از آلبانی تا خاورمیانه: مانتیکور زخمی در حال گوش دادن است»، آمده است که این گروه از یک فریمورک بدافزاری که قبلا شناسایی نشده به نام LIONTAIL استفاده میکند. این بدافزار از بارگذارهای سفارشی و payloadهای shellcode مستقر در حافظه استفاده میکند تا عملکردهای مخرب خود را در ترافیک شبکه قانونی ادغام کند.
محققان بر این باورند که هدف اصلی این کمپین جاسوسی است. در ادامه ادعاها آمده است که این عامل تهدید ازجمله مهاجمان ایرانی است که در ژوئن ٢٠٢٢ بهدستور وزارت اطلاعات و امنیت جمهوری اسلامی، در حملات سایبری مخرب علیه زیرساختهای دولت آلبانی شرکت داشته است. CPR ادعا میکند که این گروه تهدید حداقل از سال ٢٠١٩ فعال بوده است و ترجیح میدهد دسترسی پنهانی داشته و به طور مداوم استخراج دادهها را ادامه دهد.
بررسیهای بیشتر نشان داد که Scarred Manticore در این کمپین جاسوسی مداوم، سازمانهای مطرحی در خاورمیانه را هدف قرار میدهد و بهشدت بر نهادهای مخابراتی، نظامی و دولتی جدای از موسسات مالی، ارائهدهندگان خدمات فناوری اطلاعات و سازمانهای غیردولتی تمرکز میکند.
اگرچه فریمورک LIONTAIL هیچگونه همپوشانی کدی با خانواده بدافزار شناخته شدهای که تاکنون شناسایی شده ندارد و کاملا منحصربهفرد به نظر میرسد، ابزارهای دیگر مورد استفاده در حملات جدید، با حملات گزارششده قبلی همپوشانی دارند. برخی از این حملات به OilRig یا گروههای وابسته به OilRig مرتبط هستند، اما شواهد کافی برای ارتباط بین گروه Scarred Manticore با OilRig وجود ندارد.
از سال ٢٠١٩، این گروه از یک مجموعه ابزار سفارشی برای به خطر انداختن سرورهای ویندوز متصل به اینترنت در خاورمیانه استفاده کرده است. در این کمپین خاص، CPR فاش کرده است که قربانیان در عربستان سعودی، امارات متحده عربی، کویت، اردن، عراق، عمان و اسرائیل قرار دارند.
طبق ادعاهای این گزارش، مناطق جغرافیایی مورد هدف در این کمپین و فعالیتهای قبلی Scarred Manticore بهشدت با منافع ایران و با مشخصات قربانیان معمول که توسط گروههای تحت حمایت وزارت اطلاعات در عملیاتهای جاسوسی هدف قرار میگیرند، همسو هستند.
مجموعه ابزار Scarred Manticore به طور قابل توجهی در طول زمان تکامل یافته است، زیرا از پروکسیهای مبتنی بر وب متن باز، آنها به تدریج به ابزارهای قدرتمندی که اجزای متن باز و سفارشی را با هم ترکیب میکنند، تغییر یافتهاند. Web Shell مبتنی بر Tunna یکی از اولین ابزارهای گروه میباشد که یک ابزار متن باز است که برای تونل کردن ارتباطات TCP از طریق HTTP استفاده میشود تا مهاجمان به هر سرویسی در هاست راه دور و حتی سرویسهایی که توسط فایروالها مسدود شدهاند، متصل شوند.
این مهاجم سایبری اکنون از طیف وسیعی از Backdoorهای مبتنی بر IIS برای هدف قرار دادن سرورهای ویندوز، ازجمله web shellهای سفارشی، backdoorهای DLL سفارشی و ایمپلنتهای مبتنی بر درایور استفاده میکند. فریمورک بدافزار سفارشی LIONTAIL، که CPR آن را «آفتابپرست دیجیتال یا Digital Chameleon» نامیده است، میتواند روی سیستمهای آسیبدیده پایدار بماند و دادههای حساس را بدون شناسایی سرقت کند. از لودرهای سفارشی و کدهای ویژه برای باقی ماندن در حافظه رایانه استفاده میکند و درایور HTTP.sys را برای تبدیل شدن به بخشی از فعالیت عادی شبکه، سرقت مینماید.
این گزارش در انتها آورده است که تکامل ابزارها و قابلیتهای Scarred Manticore نشاندهنده پیشرفتی است که عاملان تهدید و مهاجمان سایبری ایرانی در چند سال گذشته داشتهاند، زیرا تکنیکهای مورد استفاده در کمپینهای اخیر بسیار پیچیدهتر از تکنیکهای قبلی مرتبط با ایران هستند.
برچسب ها: Digital Chameleon, Tunna, مانتیکور زخمی, LIONTAIL, Scarred Manticore, OilRig, Cyber Warfare, تونلینگ, Web Shell, Iran, Tunneling, Shellcode, ایران, israel, malware, خاورمیانه, اسرائیل, Cyber Security, جاسوسی سایبری, backdoor, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news