01/11/23
Специалисты Check Point в сотрудничестве с командой реагирования на инциденты Sygnia обнародовали информацию о деятельности иранской группы киберпреступников под названием Scarred Manticore. Отмечается, что группировка, связанная с Министерством разведки и безопасности Ирана, на протяжении последнего года осуществляла скрытные операции шпионажа на Ближнем Востоке с использованием фреймворка для создания вредоносных программ под кодовым именем LIONTAIL.
Основное внимание Scarred Manticore уделено секторам правительства, военных структур, телекоммуникаций, информационных технологий, финансов и неправительственных организаций в регионе, что свидетельствует о целенаправленном поиске и сборе ценных данных.
По словам исследователей, пишет Securitylab, тактика группировки значительно эволюционировала за последнее время: от простых атак через веб-оболочки на сервера Windows группа перешла к использованию продвинутого фреймворка с мощным набором инструментов, включающим как авторские, так и свободно распространяемые компоненты. Это свидетельствует о повышении уровня кибервозможностей хакеров Scarred Manticore.
В рамках фреймворка LIONTAIL используются кастомизированные загрузчики и резидентные в памяти шелл-коды, которые эксплуатируют недокументированные функции драйвера HTTP.sys, что позволяет операции Scarred Manticore оставаться незаметными в легитимном сетевом трафике.
Помимо шпионажа в деятельности группировки прослеживается причастность к разрушительным атакам, спонсируемым MOIS против инфраструктуры правительства Албании. Длительное наблюдение за деятельностью Scarred Manticore свидетельствует о стремлении хакеров к получению и извлечению конфиденциальных данных.
Завершая отчёт, эксперты подчёркивают, что операции Scarred Manticore, вероятно, будут продолжаться, расширяясь на другие регионы и цели, соответствующие долгосрочным интересам Ирана. Тем временем, сложность обнаружения фреймворка LIONTAIL, который избегает стандартных методов мониторинга, ставит перед специалистами серьёзные задачи.
Национальные киберпреступные объединения продолжают эволюционировать, подчёркивая необходимость бдительности и усиления мер кибербезопасности для защиты организаций от всё более сложных и настойчивых тактик злоумышленников.
