De Iran-Nexus-dreigingsacteur bekend als UNC2428 is waargenomen die een achterdeur levert die bekend staat als bekend als Troebel Als onderdeel van een sociale engineeringcampagne met een baanthema gericht op Israël in oktober 2024.
Google-eigendom Mandiant beschreef UNC2428 als een bedreigingsacteur die in overeenstemming was met Iran die zich bezighoudt met cyberspionage-gerelateerde operaties. Van de inbraakset wordt gezegd dat deze de malware heeft verdeeld via een “complexe keten van bedrog technieken”.
“De social engineeringcampagne van UNC2428 was gericht op individuen, terwijl ze zich voordeden als een wervingsmogelijkheid van de Israëlische defensiecontractant, Rafael,” zei het bedrijf in haar jaarlijkse M-Trends-rapport voor 2025.
Personen die interesse toonden, werden doorgestuurd naar een site die zich voordeed als Rafael, van waaruit hen werd gevraagd om een tool te downloaden om te helpen bij het aanvragen van de baan.
De tool (“rafaelconnect.exe”) was een installatieprogramma dat Lonefleet noemde dat, eenmaal gelanceerd, een grafische gebruikersinterface (GUI) aan het slachtoffer presenteerde om hun persoonlijke informatie in te voeren en hun cv in te dienen.
Eenmaal ingediend, werd de duistere achterdeur gelanceerd als een achtergrondproces door middel van een launcher dat LeADPile wordt genoemd, waardoor de aanvallers aanhoudende toegang tot de gecompromitteerde machine worden gegeven.
“Iran-Nexus Threat Actoren hebben grafische gebruikersinterfaces (GUI’s) opgenomen om de uitvoering en installatie van malware te verbergen als legitieme applicaties of software,” zei Mandiant. “De toevoeging van een GUI die de gebruiker presenteert met een typisch installatieprogramma en is geconfigureerd om de vorm en functie van de gebruikte kunstaas na te bootsen, kan vermoedens van gerichte individuen verminderen.”
Het is vermeldenswaard dat de campagne overlapt met activiteit die het Israëlische nationale cyberdirectoraat toegeschreven aan een Iraanse dreigingsacteur genaamd Black Shadow.
Beschuldigend dat het werkt namens het Iraanse ministerie van Inlichtingen en Veiligheid (MOIS), staat de hackgroep bekend om het richten van een breed scala aan verticale industriële verticalen in Israël, waaronder academische wereld, toerisme, communicatie, financiën, transport, gezondheidszorg, overheid en technologie.
Per mandiant is UNC2428 een van de vele Iraanse dreigingsactiviteitclusters die hun zinnen hebben getraind op Israël in 2024. Een prominente groep is Cyber Toufan, die gericht was op in Israël gevestigde gebruikers met de eigen Pokyblight-wisser.
UNC3313 is een andere Iran-Nexus-bedreigingsgroep die bewaking en strategische informatie-verzamelactiviteiten heeft uitgevoerd via speer-phishing-campagnes. UNC3313, voor het eerst gedocumenteerd door het bedrijf in februari 2022, wordt verondersteld verbonden te zijn met Muddywater.
“De dreigingsacteur organiseerde malware op populaire diensten voor het delen van bestanden en ingebedde links in phishing kunstaas met trainings- en webinar-thema,” zei Mandiant. “In een dergelijke campagne heeft UNC3313 de Jellybean -dropper en candybox -achterdeur gedistribueerd onder organisaties en personen die het doelwit waren van hun phishingactiviteiten.”
Aanvallen gemonteerd door UNC3313 zijn zwaar voorgesteld op maar liefst negen verschillende legitieme tools voor monitoring en management (RMM), een kenmerkende tactiek van de Muddywater Group, in een poging om detectie -inspanningen af te weren en aanhoudende toegang op afstand te bieden.
Het bedreigingsinformatiebedrijf zei ook dat het in juli 2024 een vermoedelijke Iran-gekoppelde tegenstander opmerkte die een backdoor codenaam Cactuspal distribueerde door het door te geven als installatieprogramma voor de Palo Alto Networks GlobalProtect Remote Access-software.
De installatiewizard, bij lancering, implementeert stealhy de .NET-achterdeur die op zijn beurt slechts één exemplaar van het proces verifieert voordat het communiceert met een externe command-and-control (C2) -server.
Ondanks het gebruik van RMM -tools is ook de Iraanse dreigingsactoren zoals UNC1549 waargenomen om stappen te nemen om cloudinfrastructuur in hun tradecraft te integreren om ervoor te zorgen dat hun acties opkomen met diensten die voorkomen in bedrijfsomgevingen.
“Naast technieken zoals typosquatten en domein hergebruik, hebben bedreigingsactoren ontdekt dat het hosten van C2-knooppunten of payloads op cloudinfrastructuur en het gebruik van cloud-native domeinen het onderzoek vermindert dat op hun activiteiten kan worden toegepast,” zei Mandiant.
Elk inzicht in het Iraanse dreigingslandschap is onvolledig zonder APT42 (aka charmant kitten), dat bekend staat om zijn uitgebreide inspanningen voor social engineering en rapportopbouw om referenties te oogsten en op maat gemaakte malware te leveren voor gegevensuitbreiding.
De dreigingsacteur, per Mandiant, heeft nep -inlogpagina’s ingezet die zich voordoen als Google, Microsoft en Yahoo! Als onderdeel van hun campagnes voor het oogsten van de referenties, het gebruik van Google -sites en Dropbox om doelen te sturen om Google te nep -bestemmingspagina’s of inlogpagina’s.
In totaal zei het cybersecuritybedrijf dat het meer dan 20 eigen malware -families identificeerde – waaronder druppers, downloaders en backdoors – die door Iraanse actoren in campagnes in het Midden -Oosten in 2024 in het Midden -Oosten worden gebruikt. Twee van de geïdentificeerde backdoors, dodgylaffa en spareprize, zijn in dienst van APT34 (Aka Oilrig) in aanvallen in de aanvallen.
“Terwijl actoren van Iran-Nexus Dreiging Cyber Operations blijven nastreven die aansluiten bij de belangen van het Iraanse regime, zullen ze hun methoden wijzigen om zich aan te passen aan het huidige veiligheidslandschap,” zei Mandiant.
