Um ator de ameaças afiliado ao Ministério de Inteligência e Segurança do Irã (MOIS) foi observado promovendo uma sofisticada campanha de espionagem cibernética visando setores financeiros, governamentais, militares e de telecomunicações no Oriente Médio por pelo menos um ano.
A empresa de segurança cibernética israelense Check Point, que descobriu a campanha juntamente com a Sygnia, está rastreando o ator sob o nome Scarred Manticore, que é dito ter grande sobreposição com um grupo emergente denominado Storm-0861, um dos quatro grupos iranianos ligados a ataques destrutivos no governo albanês no ano passado.
As vítimas da operação estão espalhadas por vários países, como Arábia Saudita, Emirados Árabes Unidos, Jordânia, Kuwait, Omã, Iraque e Israel.
O Scarred Manticore também apresenta algum grau de sobreposição com o OilRig, outra equipe do estado-nação iraniano que recentemente foi atribuída a um ataque a um governo não identificado do Oriente Médio entre fevereiro e setembro de 2023 como parte de uma campanha de oito meses.
Outro conjunto de sobreposições táticas foi descoberto entre o adversário e um conjunto de intrusão codinome ShroudedSnooper pela Cisco Talos.
As cadeias de ataque orquestradas pelo ator de ameaças destacaram provedores de telecomunicações no Oriente Médio usando um backdoor furtivo conhecido como HTTPSnoop.
A atividade representada pelo Scarred Manticore é caracterizada pelo uso de um framework de malware passivo desconhecido chamado LIONTAIL, que é instalado em servidores Windows.
Acredita-se que o ator de ameaças esteja ativo desde pelo menos 2019.
"O Scarred Manticore vem perseguindo alvos de alto valor por anos, utilizando uma variedade de backdoors baseados em IIS para atacar servidores Windows", disseram os pesquisadores da Check Point em uma análise realizada na terça-feira.
"Estes incluem uma variedade de shells web personalizados, backdoors DLL personalizados e implantes baseados em drivers."
Um malware avançado, o LIONTAIL é uma coleção de shellcode loaders customizados e payloads de shellcode residentes na memória.
Um componente notável do framework é um implante escrito em C, leve mas sofisticado, que permite aos atacantes executar comandos remotamente via requisições HTTP.
As sequências de ataque envolvem a infiltração em servidores Windows de acesso público para dar início ao processo de entrega de malware e a coleta sistemática de dados sensíveis dos hosts infectados.
"Ao invés de usar a API HTTP, o malware usa IOCTLs para interagir diretamente com o driver HTTP.sys subjacente", disseram os pesquisadores, detalhando o mecanismo de comando e controle (C2).
"Esta abordagem é mais furtiva, pois não envolve IIS ou API HTTP, que geralmente são monitorados de perto por soluções de segurança, mas não é uma tarefa simples dado que os IOCTLs para o HTTP.sys são não documentados e requerem esforços de pesquisa adicionais pelos atores de ameaças."
Também foram implementados juntamente com o LIONTAIL vários shells web e uma ferramenta de encaminhamento web chamada LIONHEAD.
A atividade histórica do Scarred Manticore indica uma evolução contínua do arsenal de malware do grupo, dado que o ator da ameaça anteriormente confiava em shells web como o Tunna e uma versão personalizada chamada FOXSHELL para acesso de backdoor.
Desde meados de 2020, o ator de ameaças também é dito ter usado um backdoor passivo baseado em .NET chamado SDD que estabelece comunicação C2 através de um listener HTTP na máquina infectada com o objetivo final de executar comandos arbitrários, fazer upload e download de arquivos e executar assemblies .NET adicionais.
As atualizações progressivas nas táticas e ferramentas do ator da ameaça são típicas de grupos de ameaças persistentes avançados (APT) e demonstram seus recursos e habilidades variadas.
Isso é exemplificado pelo uso de um driver malicioso de kernel chamado WINTAPIX pelo Scarred Manticore, que foi descoberto pela Fortinet em maio deste ano.
Em resumo, o WinTapix.sys atua como um loader para executar a próxima etapa do ataque, injetando um shellcode embutido em um processo de modo de usuário adequado o que, por sua vez, executa um payload .NET criptografado especificamente projetado para atacar servidores do Microsoft Internet Information Services (IIS).
O ataque a Israel ocorre em meio à atual guerra entre Israel e Hamas, levando grupos de hacktivistas de baixa sofisticação a atacar várias organizações no país, bem como nações como Índia e Quênia, sugerindo que os atores de estado-nação dependem de operações de informação com o objetivo de influenciar a percepção global do conflito.
"Os componentes do framework LIONTAIL compartilham obfuscadores semelhantes e artefatos de string com o FOXSHELL, backdoor SDD e drivers WINTAPIX", disse a Check Point.
"Examinando a história de suas atividades, fica evidente o quanto o ator de ameaças avançou em aprimorar seus ataques e aprimorar sua abordagem, que depende de implantes passivos."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...