Kaip MURKYTOUR Backdoor nukreiptas į darbo ieškančius asmenis
2024 m. spalio mėn. pasirodė labai tikslinga ir sumaniai užmaskuota kibernetinė kampanija, atskleidžianti slaptų užpakalinių durų, žinomų kaip MURKYTOUR , įdiegimą. Ši operacija, kurią atskleidė grėsmių žvalgybos įmonė „Mandiant“, išryškina nuolat besikeičiančią su valstybe susijusių veikėjų taktiką ir jų susitelkimą į apgaulę kaip pagrindinį įrankį skaitmeniniame mūšio lauke.
Kampanija buvo priskirta grupei, identifikuotai kaip UNC2428, kibernetinės grėsmės veikėjui, atitinkančiam Irano interesus. Jų požiūris nebuvo tik dar vienas sukčiavimo el. laiškas – tai buvo niuansuota ir labai apgaulinga socialinės inžinerijos strategija, suteikianti netikrą darbo galimybę privilioti nieko neįtariančius asmenis, ypač Izraelyje.
Table of Contents
Kas yra MURKYTOUR?
MURKYTOUR yra užpakalinės durys, kenkėjiškų programų tipas, leidžiantis neteisėtai pasiekti įrenginį ir jį valdyti be vartotojo žinios. Šiuo atveju jis buvo tyliai įdiegtas po to, kai aukos įsitraukė į tai, kas atrodė teisėta paraiškos dėl darbo pateikimo procedūra. Užpuolikai apsimetė geros reputacijos Izraelio gynybos firma „Rafael“, kviesdami darbo ieškančius asmenis pateikti savo įgaliojimus per netikrą internetinę platformą.
Kai aukos atsisiuntė ir paleido diegimo programą, paslėptą kaip „RafaelConnect.exe“, joms buvo parodyta profesionaliai atrodanti sąsaja, sukurta siekiant įgyti jų pasitikėjimą. Ši programa, iš tikrųjų apgaulės diegimo programa, žinoma kaip LONEFLEET , paprašė vartotojų įvesti asmeninę informaciją ir įkelti gyvenimo aprašymą. Tačiau užkulisiuose kitas įrankis, vadinamas LEAFPILE , suaktyvino slaptą MURKYTOUR diegimą, suteikdamas užpuolikams ilgalaikę prieigą prie aukos kompiuterio.
Kodėl tai svarbu?
MURKYTOUR užpakalinės durys nėra tik dar viena kenkėjiškų programų dalis – tai simbolis, kaip kibernetinis šnipinėjimas tapo psichologiškai sudėtingesnis. Užuot taikę atviros jėgos taktiką, tokie aktoriai kaip UNC2428 naudoja socialinę inžineriją – manipuliuoja žmonėmis, kad jie atliktų veiksmus, kurių jie paprastai nedarytų, kad tyliai pažeistų sistemas.
Tokios taktikos pasekmės yra labai įvairios. Nutaikymas į asmenis pasitelkus darbo viliones leidžia užpuolikams pasiekti jautrias organizacijas, apgaudinėjančius darbuotojus ar darbo ieškančius asmenis, susietus su tais tinklais. Įsigiję prieigą, kenkėjiški veikėjai gali rinkti žvalgybos informaciją, pavogti konfidencialius duomenis arba pasiruošti tolesniam įsiskverbimui.
Platesnė „Play“ strategija
MURKYTOUR nebuvo dislokuotas atskirai. Tai viena iš daugiau nei 20 kenkėjiškų programų padermių, kurias „Mandiant“ nustatė kaip su Iranu siejamų grėsmių veikėjų naudotą 2024 m. Šios platesnės pastangos apima tokias grupes kaip UNC3313 ir APT42 , kurios taip pat daug dėmesio skyrė socialinei inžinerijai, sukčiavimui ir piktnaudžiavimui teisėtais programinės įrangos įrankiais, kad liktų nepastebėti.
Pavyzdžiui, UNC3313 naudojo mokymo ir internetinių seminarų temas, siekdamas privilioti aukas, pristatydamas kenkėjiškas programas per pažįstamas failų dalijimosi platformas. Tuo tarpu APT42 sutelkė dėmesį į pagrindinių žiniatinklio paslaugų, tokių kaip „Google“ ir „Microsoft“, imitavimą, kad gautų kredencialus. Šios taktikos atskleidžia modelį: su Iranu susiję kibernetiniai operatoriai naudoja realistiškus ir įtikinamus apsimetinėjimus, kad apeitų tradicines saugumo priemones.
Be to, debesų infrastruktūra tapo pageidaujama valdymo ir valdymo operacijų aplinka. Slėpdami savo veiklą įmonėse dažniausiai naudojamose platformose, užpuolikai apsunkina apsaugos komandų galimybes aptikti neįprastą elgesį.
Poveikis asmenims ir organizacijoms
MURKYTOUR incidentas yra ryškus priminimas, kad reikia būti budriems, ypač situacijose, kurios atrodo įprastos, pavyzdžiui, kreipiantis dėl darbo. Kibernetiniai užpuolikai vis dažniau taikosi į žmogaus saugumo lygį, žinodami, kad tai dažnai yra silpniausia grandis.
Organizacijoms tai reiškia daugiau nei tik antivirusinės programinės įrangos ar ugniasienių diegimą. Ji reikalauja nuolatinio personalo švietimo ir sąmoningumo ugdymo, ypač tuose sektoriuose, į kuriuos dažnai orientuojasi nacionalinės valstybės veikėjai, pavyzdžiui, gynybos, sveikatos priežiūros, finansų ir technologijų srityse.
Įdarbinimo ir žmogiškųjų išteklių procesai taip pat tampa netikėta kibernetinės gynybos fronto linija. Įmonės turi patikrinti trečiųjų šalių darbo platformų autentiškumą ir stebėti, ar nebandoma apsimesti. Taip pat potencialūs kandidatai turėtų būti atsargūs dėl netikėtų įdarbinimo pranešimų ir tikrinti darbo skelbimus oficialiose įmonės svetainėse.
Paskutinės mintys
MURKYTOUR kampanija yra šiuolaikinio kibernetinio šnipinėjimo vadovėlis. Joje techninis meistriškumas derinamas su psichologinėmis manipuliacijomis, pasitikėjimo ir įprastų procesų išnaudojimas siekiant įsitvirtinti. Kadangi kibernetinės grėsmės ir toliau vystosi, labai svarbu suprasti tokias kampanijas kaip ši, kad būtų galima numatyti kitą grėsmės veikėjų, veikiančių nacionalinių valstybių vardu, žingsnį.
Geriausia gynyba? Sąmoningumas, budrumas ir sveika skepticizmo dozė, ypač kai pasiūlymas atrodo per geras, kad būtų tiesa.
