Un attore minaccioso affiliato al Ministero dell’Intelligence e della Sicurezza dell’Iran (MOIS) è stato osservato mentre conduceva una sofisticata campagna di cyber spionaggio mirata ai settori finanziario, governativo, militare e delle telecomunicazioni in Medio Oriente per almeno un anno.
Dettagli sulla campagna
La società di cybersecurity israeliana Check Point, che ha scoperto la campagna insieme a Sygnia, sta monitorando l’attore con il nome di “Scarred Manticore”. Questo gruppo si sovrappone strettamente con un cluster emergente chiamato “Storm-0861”, uno dei quattro gruppi iraniani collegati agli attacchi distruttivi al governo albanese l’anno scorso.
Le vittime dell’operazione includono vari paesi come Arabia Saudita, Emirati Arabi Uniti, Giordania, Kuwait, Oman, Iraq e Israele. “Scarred Manticore” mostra anche una certa sovrapposizione con “OilRig”, un altro gruppo nazionale iraniano recentemente attribuito a un attacco a un governo del Medio Oriente non specificato tra febbraio e settembre 2023.
Tecniche e strumenti utilizzati
L’attività rappresentata da Scarred Manticore è caratterizzata dall’uso di un framework di malware passivo precedentemente sconosciuto chiamato LIONTAIL installato sui server Windows. Questo gruppo minaccioso è attivo almeno dal 2019.
LIONTAIL è una collezione di loader di shellcode personalizzati e payload di shellcode residenti in memoria. Una componente notevole del framework è un impianto leggero ma sofisticato scritto in C che consente agli aggressori di eseguire comandi a distanza tramite richieste HTTP.
Gli attacchi includono l’infiltrazione di server Windows pubblicamente accessibili per avviare il processo di consegna del malware e raccogliere sistematicamente dati sensibili dagli host infetti. Inoltre, sono stati utilizzati vari web shell e uno strumento di inoltro web chiamato LIONHEAD.
Evoluzione del gruppo
L’attività storica di Scarred Manticore indica una continua evoluzione dell’arsenale di malware del gruppo. Dal 2020, l’attore minaccioso ha anche utilizzato un backdoor passivo basato su .NET chiamato SDD che stabilisce una comunicazione C2 attraverso un ascoltatore HTTP sulla macchina infetta.
Gli aggiornamenti progressivi alle tattiche e agli strumenti dell’attore minaccioso sono tipici dei gruppi di minacce persistenti avanzate (APT) e dimostrano le loro risorse e le varie competenze.
L’obiettivo di Israele avviene nel contesto della guerra in corso tra Israele e Hamas, spingendo gruppi di hacktivist di bassa sofisticazione ad attaccare varie organizzazioni nel paese, nonché nazioni come India e Kenya.