Gelişmiş bir kötü amaçlı yazılım parçası olan LIONTAIL, özel kabuk kodu yükleyicileri ve bellekte yerleşik kabuk kodu yüklerinden oluşan bir koleksiyondur
Tehdit aktörünün 2020 ortasından bu yana Tehdit aktörünün en az 2019’dan beri aktif olduğuna inanılıyor
Tehdit aktörünün taktikleri ve araçlarına yönelik aşamalı güncellemeler, gelişmiş kalıcı tehdit (APT) gruplarının tipik bir örneğidir ve onların kaynaklarını ve çeşitli becerilerini gösterir
İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı bir tehdit aktörünün, en az bir yıldır Orta Doğu’daki finans, hükümet, askeri ve telekomünikasyon sektörlerini hedef alan karmaşık bir siber casusluk kampanyası yürüttüğü gözlemlendi sys için IOCTL’lerin belgelenmemiş olması ve tehdit aktörleri tarafından ek araştırma çabaları gerektirmesi göz önüne alındığında basit bir görev değildir
Scarred Manticore ayrıca, yakın zamanda sekiz ay süren bir kampanyanın parçası olarak Şubat ve Eylül 2023 arasında isimsiz bir Orta Doğu hükümetine düzenlenen saldırıya atfedilen başka bir İran ulus devleti ekibi olan OilRig ile bir dereceye kadar örtüşme gösteriyor NET yükünü yürütür ( IIS) sunucuları ”
siber-2
Scarred Manticore tarafından temsil edilen etkinlik, Windows sunucularına yüklenen ve LIONTAIL olarak adlandırılan, önceden bilinmeyen bir pasif kötü amaçlı yazılım çerçevesinin kullanılmasıyla karakterize edilir
Scarred Manticore’un tarihsel faaliyeti, grubun kötü amaçlı yazılım cephaneliğinin sürekli bir evrim geçirdiğini gösteriyor; tehdit aktörü daha önce aşağıdaki gibi web kabuklarına güveniyordu: Ton balığı ve arka kapı erişimi için FOXSHELL adı verilen özel bir versiyon “Bunlar çeşitli özel web kabuklarını, özel DLL arka kapılarını ve sürücü tabanlı implantları içerir sys sürücüsüyle doğrudan etkileşim kurmak için IOCTL’leri kullanıyor
Check Point, “LIONTAIL çerçeve bileşenlerinin FOXSHELL, SDD arka kapısı ve WINTAPIX sürücüleriyle benzer gizleme ve dizi yapılarını paylaştığını” söyledi
Özetle, WinTapix Bunun en iyi örneği, Scarred Manticore’un bu Mayıs ayı başlarında Fortinet tarafından ortaya çıkarılan WINTAPIX adlı kötü amaçlı bir çekirdek sürücüsünü kullanmasıdır
Saldırı dizileri, kötü amaçlı yazılım dağıtım sürecini başlatmak ve virüslü ana bilgisayarlardan hassas verileri sistematik olarak toplamak için halka açık Windows sunucularına sızmayı gerektirir ” dedi
Düşman ile Cisco Talos’un ShroudedSnooper kod adlı izinsiz giriş seti arasında başka bir taktiksel örtüşme seti keşfedildi Çerçevenin dikkate değer bir bileşeni, saldırganların HTTP istekleri aracılığıyla komutları uzaktan yürütmesine olanak tanıyan, C dilinde yazılmış hafif ancak gelişmiş bir implanttır NET tabanlı pasif bir arka kapı kullandığı da söyleniyor Tehdit aktörü tarafından düzenlenen saldırı zincirleri, Orta Doğu’daki telekomünikasyon sağlayıcılarını HTTPSnoop olarak bilinen gizli bir arka kapı kullanarak belirledi
Check Point araştırmacıları “Scarred Manticore, Windows sunucularına saldırmak için çeşitli IIS tabanlı arka kapılar kullanarak yıllardır yüksek değerli hedeflerin peşinde koşuyor
Araştırmacılar, komuta ve kontrol (C2) mekanizmasını detaylandırarak, “Kötü amaçlı yazılım, HTTP API’sini kullanmak yerine, temeldeki HTTP
Kampanyayı Sygnia ile birlikte keşfeden İsrailli siber güvenlik firması Check Point, aktörü bu isim altında takip ediyor Yaralı MantikorGeçen yıl Arnavutluk hükümetine yönelik yıkıcı saldırılarla bağlantılı dört İranlı gruptan biri olan Storm-0861 adlı yeni ortaya çıkan kümeyle yakından örtüştüğü söyleniyor
İsrail’in hedef alınması tam da bu noktada ortaya çıkıyor Devam eden İsrail-Hamas savaşıBu, düşük düzeyde bilgi birikimine sahip hacktivist grupları ülkedeki çeşitli kuruluşların yanı sıra Hindistan ve Kenya gibi ülkelere saldırmaya teşvik ederek, ulus devlet aktörlerinin çatışmanın küresel algısını etkilemeyi amaçlayan bilgi operasyonlarına güvendiklerini gösteriyor “
LIONTAIL ile birlikte ayrıca çeşitli web kabukları ve bir web iletici olan LIONHEAD adı verilen bir web iletici aracı da bulunmaktadır
Operasyonun kurbanları Suudi Arabistan, Birleşik Arap Emirlikleri, Ürdün, Kuveyt, Umman, Irak ve İsrail gibi çeşitli ülkeleri kapsıyor ” söz konusu Salı günü yapılan bir analizde sys, saldırının bir sonraki aşamasını yürütmek için bir yükleyici görevi görür ve uygun bir kullanıcı modu işlemine gömülü bir kabuk kodu enjekte eder ve bu da, özellikle Microsoft Internet Information Services’ı hedeflemek için tasarlanmış şifrelenmiş bir
“Faaliyetlerinin geçmişi incelendiğinde, tehdit aktörünün saldırılarını iyileştirme ve pasif implantlara dayanan yaklaşımlarını geliştirme konusunda ne kadar ileri gittiği açıkça görülüyor
“Bu yaklaşım, genellikle güvenlik çözümleri tarafından yakından izlenen IIS veya HTTP API’yi içermediğinden daha gizlidir ancak HTTP NET derlemelerinin çalıştırılması nihai hedefiyle, virüs bulaşmış makinedeki bir HTTP dinleyicisi aracılığıyla C2 iletişimi kurar SDD Bu, rastgele komutların yürütülmesi, dosyaların yüklenmesi ve indirilmesi ve ek