Атака сопровождалась внедрением вредоносной программы MURKYTOUR через псевдоинсталлятор под названием LONEFLEET, оформленный как интерфейс для подачи резюме. Кампания стала частью более широкой кибершпионской деятельности, направленной на сбор данных и установление долгосрочного доступа к системам жертв, пишут в Securitylab.
После того как пользователь вводил данные в поддельную форму и якобы отправлял резюме, на его компьютере запускался фоновый процесс с бэкдором MURKYTOUR. Злоумышленники использовали компонент LEAFPILE как механизм запуска, чтобы сохранить контроль над устройством. Как подчёркивает Mandiant, применение графических интерфейсов, стилизованных под легитимные приложения, снижает подозрительность и повышает успех атаки.
Данная активность перекликается с действиями группировки Black Shadow, которую Национальное киберуправление Израиля связывает с Министерством разведки Ирана. Эта группа ранее атаковала израильские организации из разных секторов, включая образование, финансы, связь, транспорт, здравоохранение и правительство.
Помимо UNC2428, другие иранские группировки также были активны в 2024 году. Среди них — Cyber Toufan, использовавшая разрушительное ПО POKYBLIGHT в атаках на пользователей из Израиля, и UNC3313, специализирующаяся на фишинговых атаках с применением программ-дропперов JELLYBEAN и бэкдоров CANDYBOX. Эта же группа активно применяла до девяти легитимных средств удалённого администрирования, что характерно для группы MuddyWater, с которой её связывают.
В июле 2024 года был зафиксирован ещё один инцидент: иранские хакеры распространяли вредоносное ПО CACTUSPAL, маскируя его под установщик популярного корпоративного VPN-клиента Palo Alto Networks GlobalProtect. После запуска «установщика» происходила скрытая инсталляция бэкдора, написанного на .NET, с последующим подключением к внешнему серверу управления.
Группировка UNC1549 также модернизировала свои методы, активно внедряя облачную инфраструктуру, чтобы их активность выглядела как часть нормальной работы корпоративной сети. Использование поддельных доменов, размещение управляющих серверов в облаке и имитация популярных сервисов позволяют скрываться от автоматических систем защиты.
Не обошлось и без участия APT42, также известной как Charming Kitten. Эта группа продолжила практику выстраивания доверительных отношений с целью кражи учётных данных, подсовывая жертвам поддельные страницы входа в Google, Microsoft и Yahoo! с перенаправлением через Google Sites и Dropbox.
Всего, по данным Mandiant, в 2024 году в регионе Ближнего Востока иранскими группами использовалось более 20 уникальных семейств вредоносного ПО — от загрузчиков и дропперов до полноценных бэкдоров. Два из них — DODGYLAFFA и SPAREPRIZE — были замечены в атаках APT34 (OilRig) против иракских госструктур.
По мере того, как иранские кибероперации продолжают соответствовать интересам государства, методы атак становятся всё более изощрёнными, адаптируясь к изменениям в системах защиты.