MURKYTOUR Backdoor
Im Oktober 2024 startete ein mit dem Iran verbundener Bedrohungsakteur, UNC2428, eine Cyberspionagekampagne, die sich gegen israelische Privatpersonen richtete. Die Gruppe gab sich als Anwerber des israelischen Rüstungskonzerns Rafael aus und nutzte ein berufsbezogenes Social-Engineering-System, um Opfer anzulocken. Interessierte Personen wurden auf eine betrügerische Website umgeleitet, die Rafael imitierte. Dort wurden sie aufgefordert, ein Anwendungstool namens „RafaelConnect.exe“ herunterzuladen.
Inhaltsverzeichnis
Vom Interesse zum Eindringen: Die Malware-Lieferkette
Das heruntergeladene Tool war in Wirklichkeit ein Installationsprogramm namens LONEFLEET. Es verfügte über eine grafische Benutzeroberfläche (GUI), die einem seriösen Bewerbungsportal ähnelte und persönliche Daten sowie den Upload eines Lebenslaufs abfragte. Hinter dieser scheinbar harmlosen Oberfläche verbarg sich jedoch eine schädliche Absicht. Nach der Datenübermittlung wurde über einen Launcher namens LEAFPILE unbemerkt im Hintergrund eine Backdoor namens MURKYTOUR installiert, die Angreifern dauerhaften Zugriff auf das infizierte System gewährte. Dieser Ansatz unterstreicht den strategischen Einsatz von GUIs durch die Angreifer, um die Ausführung von Malware als harmlose Aktivität zu tarnen.
Mehr als ein Akteur: Die wachsende iranische Cyber-Bedrohungslandschaft
UNC2428 ist nur ein Teil eines größeren Puzzles iranischer Cyber-Operationen. Die Kampagne weist Merkmale auf, die mit Aktivitäten von Black Shadow in Verbindung stehen, einer Organisation, die vom israelischen Nationalen Cyber-Direktorat beschuldigt wird und vermutlich dem iranischen Ministerium für Geheimdienst und Sicherheit (MOIS) untersteht. Ihre Ziele erstrecken sich über zahlreiche Sektoren in Israel, darunter:
- Regierung und Verteidigung
- Gesundheitswesen und Finanzen
- Technologie und Kommunikation
Ein weiterer Akteur, UNC3313, der mit der MuddyWater -Gruppe in Verbindung steht, führt seit 2022 Spear-Phishing-Kampagnen durch und ist dafür bekannt, legitime Remote-Monitoring-Tools zu nutzen, um Tarnung und dauerhaften Zugriff zu gewährleisten. UNC1549 setzt mittlerweile auf Cloud-basierte Infrastruktur, um sich besser in Unternehmensumgebungen einzufügen und nicht entdeckt zu werden.
Drahtzieher der Manipulation: APT42 und darüber hinaus
APT42 , auch bekannt als Charming Kitten, ist für seine ausgeklügelten Social-Engineering-Techniken bekannt. Die Gruppe hat gefälschte Anmeldeseiten eingerichtet, die sich als große Plattformen wie Google, Microsoft und Yahoo! ausgeben, um Anmeldedaten zu sammeln. Sie nutzten Plattformen wie Google Sites und Dropbox, um Opfer auf diese bösartigen Seiten zu leiten und so ihre Täuschung zu verstärken.
Darüber hinaus nutzte APT34 (OilRig) bei Angriffen auf irakische Regierungssysteme maßgeschneiderte Backdoors wie DODGYLAFFA und SPAREPRIZE. Insgesamt identifizierten Cybersicherheitsexperten im Jahr 2024 über 20 einzigartige Malware-Familien, die von iranischen Akteuren bei verschiedenen Cyberoperationen im Nahen Osten entwickelt oder eingesetzt wurden.
Fazit: Eine anhaltende und sich weiterentwickelnde Bedrohung
Iranische Cyber-Akteure haben ihre Taktiken deutlich weiterentwickelt und kombinieren psychologische Manipulation mit technischer Raffinesse. Mithilfe von GUIs, legitimen Tools und Cloud-Diensten verfeinern sie ihre Vorgehensweise, um Zugriff zu erhalten und der Entdeckung zu entgehen. Dies stellt eine anhaltende Herausforderung für die regionale und globale Cybersicherheit dar.
