Aktor Ancaman Iran-Nexus yang dikenal sebagai UNC2428 telah diamati memberikan pintu belakang yang dikenal sebagai Murkytour Sebagai bagian dari kampanye teknik sosial bertema pekerjaan yang ditujukan untuk Israel pada Oktober 2024.
Google-Onceed Mandiant menggambarkan UNC2428 sebagai aktor ancaman yang selaras dengan Iran yang terlibat dalam operasi terkait spionase dunia maya. Set intrusi dikatakan telah mendistribusikan malware melalui “rantai teknik penipuan yang kompleks.”
“Kampanye Teknik Sosial UNC2428 menargetkan orang-orang sambil menyamar sebagai peluang rekrutmen dari kontraktor pertahanan Israel, Rafael,” kata perusahaan itu dalam laporan M-Trends tahunan untuk tahun 2025.
Orang -orang yang menyatakan minatnya dialihkan ke situs yang menyamar sebagai Rafael, dari mana mereka diminta untuk mengunduh alat untuk membantu melamar pekerjaan itu.
Alat (“rafaelconnect.exe”) adalah pemasang yang dijuluki Lonefleet yang, setelah diluncurkan, menyajikan antarmuka pengguna grafis (GUI) kepada korban untuk memasukkan informasi pribadi mereka dan mengirimkan resume mereka.
Setelah diserahkan, backdoor Murkytour diluncurkan sebagai proses latar belakang melalui peluncur yang disebut Leafpile, memberikan penyerang akses terus -menerus ke mesin yang dikompromikan.
“Aktor ancaman Iran-Nexus menggabungkan antarmuka pengguna grafis (GUI) untuk menyamarkan pelaksanaan dan instalasi malware sebagai aplikasi atau perangkat lunak yang sah,” kata Mandiant. “Penambahan GUI yang menyajikan kepada pengguna pemasang yang khas dan dikonfigurasi untuk meniru bentuk dan fungsi godaan yang digunakan dapat mengurangi kecurigaan dari individu yang ditargetkan.”
Perlu disebutkan bahwa kampanye tumpang tindih dengan aktivitas yang dikaitkan dengan Direktorat Cyber Nasional Israel dengan aktor ancaman Iran bernama Black Shadow.
Dinilai beroperasi atas nama Kementerian Intelijen dan Keamanan (MOIS) Iran, kelompok peretasan ini dikenal karena menargetkan berbagai vertikal industri di Israel, termasuk akademisi, pariwisata, komunikasi, keuangan, transportasi, perawatan kesehatan, pemerintah, dan teknologi.
Per Mandiant, UNC2428 adalah salah satu dari banyak kelompok kegiatan ancaman Iran yang telah melatih pandangan mereka pada Israel pada tahun 2024. Salah satu kelompok terkemuka adalah Cyber Toufan, yang menargetkan pengguna yang berbasis di Israel dengan wiper pokyblight eksklusif.
UNC3313 adalah kelompok ancaman Iran-Nexus lainnya yang telah melakukan operasi pengintaian dan pengumpulan informasi strategis melalui kampanye phishing tombak. UNC3313, yang pertama kali didokumentasikan oleh perusahaan pada bulan Februari 2022, diyakini berafiliasi dengan Muddywater.
“Aktor ancaman meng-host malware pada layanan berbagi file populer dan tautan tertanam dalam umpan phishing bertema pelatihan dan webinar,” kata Mandiant. “Dalam satu kampanye seperti itu, UNC3313 mendistribusikan Jellybean Dropper dan Candybox Backdoor kepada organisasi dan individu yang ditargetkan oleh operasi phishing mereka.”
Serangan yang dipasang oleh UNC3313 telah sangat bersandar pada sebanyak sembilan alat pemantauan dan manajemen jarak jauh (RMM) yang berbeda, sebuah taktik tanda tangan dari kelompok Muddywater, dalam upaya untuk menangkal upaya deteksi dan menyediakan akses jarak jauh yang persisten.
Perusahaan Ancaman Intelijen juga mengatakan mereka mengamati pada Juli 2024, seorang dugaan musuh yang terhubung dengan Iran yang mendistribusikan kactuspal dengan nama kode dengan merekamnya sebagai penginstal untuk perangkat lunak Remote Access Palo Alto Networks PROTECT Global.
Wizard instalasi, pada saat diluncurkan, secara diam-diam menggunakan .Net backdoor yang, pada gilirannya, hanya memverifikasi satu contoh proses yang berjalan sebelum berkomunikasi dengan server perintah dan kontrol eksternal (C2).
Meskipun demikian, penggunaan alat RMM, aktor ancaman Iran seperti UNC1549 juga telah diamati mengambil langkah -langkah untuk memasukkan infrastruktur cloud ke dalam pedagang mereka sehingga untuk memastikan bahwa tindakan mereka menyatu dengan layanan yang lazim di lingkungan perusahaan.
“Selain teknik-teknik seperti pengetikan dan penggunaan kembali domain, aktor ancaman telah menemukan bahwa hosting node C2 atau muatan pada infrastruktur cloud dan menggunakan domain cloud-asli mengurangi pengawasan yang mungkin diterapkan pada operasi mereka,” kata Mandiant.
Setiap wawasan tentang lanskap ancaman Iran tidak lengkap tanpa APT42 (alias anak kucing yang menawan), yang dikenal dengan upaya rekayasa sosial dan pembangunan hubungan yang rumit untuk memanen kredensial dan memberikan malware yang dipesan lebih dahulu untuk exfiltration data.
Aktor ancaman, per mandiant, halaman login palsu yang disamer sebagai Google, Microsoft, dan Yahoo! Sebagai bagian dari kampanye pemanenan kredensial mereka, menggunakan situs Google dan Dropbox untuk mengarahkan target untuk memalsukan halaman pendaratan Google Meet atau halaman login.
Secara keseluruhan, perusahaan cybersecurity mengatakan pihaknya mengidentifikasi lebih dari 20 keluarga malware yang berpemilik – termasuk tetesan, pengunduh, dan pintu belakang – yang digunakan oleh aktor Iran dalam kampanye di Timur Tengah pada tahun 2024. Dua dari pintu belakang yang diidentifikasi, Dodgylaffa dan target spareprize, telah dipekerjakan oleh APT34 (AKA Oilrig) Intertion, Interts, telah dipekerjakan.
“Ketika para aktor ancaman Iran-Nexus terus mengejar operasi cyber yang selaras dengan kepentingan rezim Iran, mereka akan mengubah metodologi mereka untuk beradaptasi dengan lanskap keamanan saat ini,” kata Mandiant.
