Tin tặc Iran nhắm mục tiêu vào các công ty tài chính và chính phủ ở Trung Đông
Nhóm tin tặc này có tên là Scarred Manticore và đã hoạt động ít nhất từ năm 2019, được cho là có mối liên hệ chặt chẽ với tổ chức mới nổi Storm-0861, một trong bốn nhóm tin tặc của Iran có liên quan đến các cuộc tấn công mạng vào Chính phủ Albania năm ngoái. Nạn nhân của chiến dịch này trải dài trên nhiều quốc gia khác nhau như Ả Rập Saudi, Các Tiểu vương quốc Ả Rập Thống nhất (UAE), Jordan, Kuwait, Oman, Iraq và Israel.
Scarred Manticore có một số điểm trùng lặp với OilRig, một nhóm tin tặc Iran gần đây đã tấn công mạng vào chính phủ một quốc gia tại Trung Đông kể từ tháng 2 đến tháng 9/2023 như một phần của chiến dịch kéo dài 8 tháng.
Các chuỗi tấn công do Scarred Manticore thực hiện đã nhắm mục tiêu vào các nhà cung cấp dịch vụ viễn thông ở Trung Đông bằng cách sử dụng backdoor có tên là HTTPSnoop, bao gồm các kỹ thuật mới để giao tiếp với các thiết bị và trình điều khiển nhân HTTP của Windows để lắng nghe các yêu cầu đến đối với các URL HTTP/HTTPS cụ thể và thực thi nội dung đó trên điểm cuối bị lây nhiễm.
Chiến dịch của Scarred Manticore có đặc điểm là sử dụng framework phần mềm độc hại chưa được biết đến trước đây có lên là LIONTAIL được cài đặt trên máy chủ Windows.
Các nhà nghiên cứu Check Point cho biết trong một phân tích vào ngày 31/10: “Scarred Manticore đã theo đuổi các mục tiêu có giá trị cao trong nhiều năm, sử dụng nhiều backdoor trên IIS để tấn công các máy chủ Windows. Chúng bao gồm nhiều webshell và backdoor DDL tùy chỉnh trên trình điều khiển”.
LIONTIAL là một phần mềm độc hại nâng cao, nó là một tập hợp các trình tải shellcode tùy chỉnh và payload shellcode nằm trong bộ nhớ. Một thành phần đáng chú ý của framework này là một phần mềm độc hại tinh vi được viết bằng ngôn ngữ C cho phép kẻ tấn công thực thi các lệnh từ xa thông qua các yêu cầu HTTP.
Chuỗi tấn công đòi hỏi phải xâm nhập công khai vào các máy chủ Windows để khởi động quá trình phân phối phần mềm độc hại và thu thập dữ liệu nhạy cảm một cách có hệ thống từ các máy chủ bị nhiễm.
Lịch sử hoạt động của Scarred Manticore cho thấy sự phát triển liên tục của kho vũ khí phần mềm độc hại của nhóm này, trong đó có Tunna - một phần mềm độc hại dựa vào các webshell với phiên bản tiếng Việt có tên FOXSHELL, tạo đường hầm cho mọi giao tiếp TCP qua HTTP.
Kể từ giữa năm 2020, Scarred Manticore cũng đã sử dụng một backdoor dựa trên .NET có tên SDD để thiết lập giao tiếp với máy chủ điều khiển từ xa thông qua trình nghe HTTP trên máy bị nhiễm, với mục tiêu cuối cùng là thực thi các lệnh tùy ý, tải lên (upload) và tải xuống tệp (download), cũng như chạy các tập hợp .NET bổ sung.
Các bản cập nhật đối với chiến thuật và công cụ của nhóm tin tặc này là điển hình của chiến dịch APT, thể hiện nguồn lực cũng như kỹ năng đa dạng của chúng. Điều này được minh họa rõ nhất qua việc Scarred Manticore sử dụng trình điều khiển độc hại có tên WINTAPIX đã bị Fortinet phát hiện vào đầu tháng 5/2023.
Check Point cho biết: “Các thành phần framework của LIONTAIL chia sẻ các chuỗi và mã hóa tương tự với các trình điều khiển FOXSHELL, backdoor SDD và WINTAPIX”.
Lê Thị Bích Hằng