Un gruppo di minacce avanzate persistenti (APT) con legami con l’Iran ha rinfrescato il suo set di strumenti malware per includere una nuova backdoor soprannominata Marlin come parte di una campagna di spionaggio di lunga durata iniziata nell’aprile 2018.
La società di cybersicurezza ESET ha attribuito agli attacchi il nome in codice “Out to Sea” collegandoli ad un attore di minacce chiamato OilRig (aka APT34), mentre ha anche definitivamente collegato le sue attività a un secondo gruppo iraniano tracciato sotto il nome Lyceum (Hexane aka SiameseKitten).
“Le vittime della campagna includono organizzazioni diplomatiche, aziende tecnologiche e organizzazioni mediche in Israele, Tunisia ed Emirati Arabi Uniti“, ESET.
Attivo almeno dal 2014, il gruppo di hacker è noto per colpire i governi del Medio Oriente e una varietà di verticali di business, tra cui chimica, energia, finanza e telecomunicazioni. Nell’aprile 2021, l’attore ha preso di mira un’entità libanese con un impianto chiamato SideTwist, mentre le campagne precedentemente attribuite a Lyceum hanno individuato aziende IT in Israele, Marocco, Tunisia e Arabia Saudita.
Le catene di infezione di Lyceum sono anche notevoli per il fatto che si sono evolute per far cadere più backdoor da quando la campagna è venuta alla luce nel 2018 iniziando con DanBot e passando a Shark e Milan nel 2021, con attacchi rilevati nell’agosto 2021 che sfruttano un nuovo malware di raccolta dati chiamato Marlin.
I cambiamenti non finiscono qui. In quella che è una partenza significativa dalle tradizionali TTP di OilRig, che hanno coinvolto l’uso di DNS e HTTPS per le comunicazioni command-and-control (C&C), Marlin fa uso di OneDrive API di Microsoft per le sue operazioni C2.
ESET, notando che l’accesso iniziale alla rete è stato ottenuto per mezzo di spear-phishing così come l’accesso remoto e software di amministrazione come ITbrain e TeamViewer, ha citato le somiglianze di strumenti e tattiche tra le backdoor di OilRig e quella di Lyceum come “troppo numerose e specifiche”.
“La backdoor ToneDeaf comunicava principalmente con il suo C&C su HTTP/S ma includeva un metodo secondario, il tunneling DNS, che non funziona correttamente“, hanno detto i ricercatori. “Shark ha sintomi simili, dove il suo metodo di comunicazione primario utilizza DNS ma ha un’opzione secondaria HTTP/S non funzionante“.
ToneDeaf, che supporta la raccolta di informazioni di sistema, il caricamento e il download di file e l’esecuzione di comandi shell arbitrari, è una famiglia di malware distribuita dall’attore APT34, prendendo di mira una vasta gamma di industrie che operavano in Medio Oriente nel luglio 2019.
