O ator de ameaças vinculado ao Irã, conhecido como UNC2428, foi observado entregando um backdoor conhecido como MURKYTOUR como parte de uma campanha de engenharia social temática de empregos direcionada a Israel em outubro de 2024.
A Mandiant, empresa do Google, descreveu UNC2428 como um ator de ameaça alinhado com o Irã que se envolve em operações relacionadas a espionagem cibernética.
Diz-se que o conjunto de intrusão distribuiu o malware por meio de uma "cadeia complexa de técnicas de decepção".
"A campanha de engenharia social do UNC2428 teve como alvo indivíduos, enquanto se passava por uma oportunidade de recrutamento do contratante de defesa israelense, Rafael", disse a empresa em seu relatório anual M-Trends para 2025.
Indivíduos que expressaram interesse foram redirecionados para um site que se passava por Rafael, de onde foram solicitados a baixar uma ferramenta para auxiliar na candidatura ao emprego.
A ferramenta ("RafaelConnect.exe") era um instalador denominado LONEFLEET que, uma vez lançado, apresentava uma interface gráfica do usuário (GUI) para a vítima inserir suas informações pessoais e enviar seu currículo.
Uma vez submetido, o backdoor MURKYTOUR era lançado como um processo em segundo plano por meio de um lançador referido como LEAFPILE, concedendo aos atacantes acesso persistente à máquina comprometida.
"Atores de ameaça comnexão Irã incorporaram interfaces gráficas do usuário (GUIs) para disfarçar a execução e instalação de malware como aplicativos ou softwares legítimos", disse a Mandiant.
A adição de uma GUI que apresenta ao usuário um instalador típico e é configurada para imitar a forma e função do isco usado pode reduzir as suspeitas dos indivíduos alvo.
Vale mencionar que a campanha se sobrepõe com atividades que a Diretoria Nacional de Cibersegurança de Israel atribuiu a um ator de ameaça iraniano chamado Black Shadow.
Avaliado por operar em nome do Ministério de Inteligência e Segurança do Irã (MOIS), o grupo hacker é conhecido por mirar em uma vasta gama de verticais da indústria em Israel, incluindo academia, turismo, comunicações, finanças, transportes, saúde, governo e tecnologia.
Segundo a Mandiant, UNC2428 é um dos muitos grupos de atividades de ameaça iranianas que têm como alvo Israel em 2024.
Um grupo proeminente é o Cyber Toufan, que mirou usuários baseados em Israel com o wiper proprietário POKYBLIGHT.
UNC3313 é outro grupo de ameaça com conexão ao Irã que conduziu operações de vigilância e coleta de informações estratégicas por meio de campanhas de spear-phishing.
UNC3313, documentado pela primeira vez pela empresa em fevereiro de 2022, acredita-se ser afiliado ao MuddyWater.
"O ator de ameaça hospedou malware em serviços populares de compartilhamento de arquivos e incorporou links dentro de iscas de phishing temáticas de treinamento e webinar", disse a Mandiant.
Em uma dessas campanhas, UNC3313 distribuiu o dropper JELLYBEAN e o backdoor CANDYBOX para organizações e indivíduos alvos de suas operações de phishing.
Os ataques montados pelo UNC3313 têm se apoiado fortemente em até nove ferramentas de monitoramento e gerenciamento remoto (RMM) legítimas, uma tática assinatura do grupo MuddyWater, em uma tentativa de afastar os esforços de detecção e fornecer acesso remoto persistente.
A firma de inteligência de ameaça também disse que observou em julho de 2024 um adversário supostamente ligado ao Irã distribuindo um backdoor codinome CACTUSPAL, passando-o como um instalador para o software de acesso remoto GlobalProtect da Palo Alto Networks.
O assistente de instalação, ao ser iniciado, implanta furtivamente o backdoor .NET que, por sua vez, verifica se apenas uma instância do processo está em execução antes de se comunicar com um servidor de comando e controle (C2) externo.
Não obstante o uso de ferramentas RMM, atores de ameaça iranianos como o UNC1549 também foram observados tomando medidas para incorporar infraestrutura de nuvem em seu modus operandi, a fim de garantir que suas ações se misturem com os serviços prevalentes em ambientes empresariais.
"Além de técnicas como typosquatting e reutilização de domínio, os atores de ameaça descobriram que hospedar nós C2 ou payloads em infraestrutura de nuvem e usar domínios nativos da nuvem reduz o escrutínio que pode ser aplicado às suas operações," disse a Mandiant.
Qualquer visão sobre a paisagem de ameaças iranianas é incompleta sem o APT42 (também conhecido como Charming Kitten), que é conhecido por seus esforços elaborados de engenharia social e construção de relacionamento para colher credenciais e entregar malware sob medida para exfiltração de dados.
O ator de ameaça, segundo a Mandiant, implantou páginas falsas de login se passando por Google, Microsoft e Yahoo! como parte de suas campanhas de colheita de credenciais, usando Google Sites e Dropbox para direcionar alvos para páginas falsas de Google Meet ou páginas de login.
No total, a empresa de cibersegurança disse ter identificado mais de 20 famílias de malware proprietárias – incluindo droppers, downloaders e backdoors – usadas por atores iranianos em campanhas no Oriente Médio em 2024.
Dois dos backdoors identificados, DODGYLAFFA e SPAREPRIZE, foram empregados pelo APT34 (também conhecido como OilRig) em ataques mirando entidades governamentais iraquianas.
"À medida que atores de ameaça com conexão ao Irã continuam a buscar operações cibernéticas que alinham aos interesses do regime iraniano, eles mudarão suas metodologias para se adaptar ao panorama de segurança atual", disse a Mandiant.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...