Οι Ιρανοί hackers Scarred Manticore βρίσκονται πίσω από μια εκστρατεία κυβερνοκατασκοπείας εναντίον οργανισμών υψηλού προφίλ στη Μέση Ανατολή, ιδιαίτερα στον κυβερνητικό, στρατιωτικό και τηλεπικοινωνιακό τομέα. Στους στόχους της περιλαμβάνονται, επίσης, πάροχοι υπηρεσιών πληροφορικής, χρηματοπιστωτικοί οργανισμοί και μη κυβερνητικές οργανώσεις (ΜΚΟ). Οι Scarred Manticore συνδέονται με το Υπουργείο Πληροφοριών και Ασφάλειας (MOIS) της χώρας.
Η εκστρατεία ανακαλύφθηκε από την Check Point Research (CPR) και την Ομάδα Αντιμετώπισης Συμβάντων της Sygnia και κορυφώθηκε στα μέσα του 2023. Οι hackers δεν είχαν γίνει αντιληπτοί για τουλάχιστον έναν χρόνο.
Δείτε επίσης: Κυβερνοκατασκοπεία: Οι YoroTrooper hackers μπορεί να σχετίζονται με το Καζακστάν
Σύμφωνα με την Check Point, οι Ιρανοί hackers Scarred Manticore συνηθίζουν να στοχεύουν οργανισμούς υψηλής αξίας, χρησιμοποιώντας διάφορα Internet Information Services (IIS)-based backdoors για να διεισδύσουν σε διακομιστές των Windows. Ο πρωταρχικός τους στόχος είναι η κατασκοπεία, αλλά ορισμένα από τα εργαλεία τους συνδέθηκαν με μια καταστροφική επίθεση σε υποδομές της αλβανικής κυβέρνησης (που σχετίζεται με το DEV-0861).
Σε αυτήν την τελευταία καμπάνια, η ομάδα Scarred Manticore χρησιμοποίησε LIONTAIL framework, ένα σύνθετο σύνολο custom loaders και memory-resident shell code payloads. Αυτά τα implants χρησιμοποιούν λειτουργίες του HTTP.sys driver για την εξαγωγή payloads από το εισερχόμενο HTTP traffic, κάνοντας τις κακόβουλες δραστηριότητές τους να συνδυάζονται με το νόμιμο network traffic.
Το LIONTAIL framework είναι μοναδικό, χωρίς σαφείς επικαλύψεις κώδικα με γνωστές οικογένειες κακόβουλου λογισμικού. Ορισμένα εργαλεία που χρησιμοποιούνται στην εκστρατεία κυβερνοκατασκοπείας μοιάζουν με αυτά προηγούμενων δραστηριοτήτων που συνδέονται με την ομάδα OilRig ή affiliates της OilRig. Ωστόσο, οι ερευνητές λένε ότι είναι δύσκολο να συνδεθεί η Scarred Manticore απευθείας με την OilRig.
Δείτε επίσης: Διεθνές Ποινικό Δικαστήριο: Η πρόσφατη κυβερνοεπίθεση στόχευε στην κατασκοπεία
Σύμφωνα με την Check Point, η εξέλιξη των εργαλείων και των δυνατοτήτων των hackers Scarred Manticore υποδηλώνει την πρόοδο που έχουν σημειώσει γενικά οι Ιρανοί hackers τα τελευταία χρόνια. Οι πιο πρόσφατες επιθέσεις τους είναι πολύ πιο εξελιγμένες σε σχέση με τις προηγούμενες.
“Αναμένουμε ότι οι επιχειρήσεις της Scarred Manticore θα συνεχιστούν και μπορεί να επεκταθούν σε άλλες περιοχές σύμφωνα με τα μακροπρόθεσμα συμφέροντα του Ιράν“, αναφέρει η Check Point.
“Ενώ το μεγαλύτερο μέρος της πρόσφατης δραστηριότητας της Scarred Manticore επικεντρώνεται κυρίως στη διατήρηση της κρυφής πρόσβασης και της εξαγωγής δεδομένων, το ανησυχητικό παράδειγμα της επίθεσης στα δίκτυα της αλβανικής κυβέρνησης λειτουργεί ως υπενθύμιση ότι οι κρατικοί hackers μπορούν να συνεργαστούν και να μοιραστούν την πρόσβαση με τους ομολόγους τους στο υπηρεσίες πληροφοριών“.
Τα κίνητρα της hacking ομάδας Scarred Manticore σχετίζονται κυρίως με την πολιτική κατασκοπεία. Οι Scarred Manticore συχνά στοχεύουν πολιτικούς οργανισμούς, κυβερνήσεις και πρεσβείες, με σκοπό να αποκτήσουν πληροφορίες που μπορούν να χρησιμοποιήσουν για να επηρεάσουν την πολιτική και τις γεωπολιτικές σχέσεις.
Δείτε επίσης: Grayling: Νέα hacking ομάδα πίσω από εκστρατεία κυβερνοκατασκοπείας
Επιπλέον, η ομάδα Scarred Manticore μπορεί να έχει οικονομικά κίνητρα. Στοχεύει επιχειρήσεις και οργανισμούς με σκοπό να κλέψει εμπιστευτικές πληροφορίες, όπως πνευματικά δικαιώματα, εμπορικά μυστικά και πληροφορίες πελατών. Αυτές οι πληροφορίες μπορούν να πωληθούν σε ανταγωνιστές.
Τέλος, η ομάδα Scarred Manticore ενδέχεται να έχει γεωπολιτικά κίνητρα. Οι επιθέσεις τους μπορεί να στοχεύουν χώρες ή οργανισμούς που αντιπροσωπεύουν γεωπολιτικά συμφέροντα που είναι αντίθετα με του Ιράν.
Πηγή: www.infosecurity-magazine.com
