Irańska grupa cyberwywiadowcza Scarred Manticore posiada zaawansowane narzędzia, pozwalające jej prowadzić trudno wykrywalne akcje szpiegowskie. Jej ofiarami były m.in. rządu, wojska, firmy IT, instytucje czy organizacje pozarządowe na Bliskim Wschodzie – informują eksperci Check Point Research. Jednocześnie taktyka grupy ciągle ewoluuje, co świadczy o tym, że Scarred Manticore nie powiedziało jeszcze ostatniego słowa.
Dzięki wspólnemu wysiłkowi Check Point Research (CPR) i Zespołu Reagowania na Incydenty Sygnia, sprawa Scarred Manticore, irańskiej grupy cybernetycznej, wyszła na światło dzienne. Okazuje się, że powiązane z irańskim DEV-0861, oraz w pewnym stopniu z platformą OilRig, ugrupowanie cyberprzestępcze może w przeszłości naruszać organizacje przy użyciu dostosowanych do potrzeb narzędzi szpiegowskich.
W arsenale grupy znajduje się platforma LionTAIL, która wykorzystuje niestandardowe moduły ładujące i ładunki kodu powłoki rezydujące w pamięci. Zawarty w niej implant DLL umożliwia Scarred Manticore płynne łączenie złośliwych działań z legalnym ruchem sieciowym.
– Możemy wyobrazić sobie LionTAIL jako tajną broń Scarred Manticore. To taki zaawansowany technologicznie gadżet szpiegowski, podstępne narzędzie wykorzystuje niestandardowe moduły ładujące i specjalne kody przechowywane w pamięci komputera. Co więcej, przejmuje sterownik HTTP.sys, wykorzystując jego ukryte funkcje, dzięki czemu Scarred Manticore może dokonywać cyberataków bez wzbudzania jakichkolwiek alarmów, wtapiając się w normalną aktywność sieciową. Niczym cyfrowy kameleon, prześlizgują się niezauważeni – wyjaśniają eksperci Check Point Research.
Choć głównym zadaniem Scarred Manticore jest szpiegostwo, pewne narzędzia powiązano z częścią sponsorowanych przez MOIS (irańskie Ministerstwo Wywiadu i Bezpieczeństwa) niszczycielskich ataków na infrastrukturę rządu albańskiego (DEV-0861). Działania ugrupowania cyberprzestępczego są monitorowane od lat – dążą przede wszystkim do tajnego dostępu i ekstrakcji danych.
Operacje prowadzone przez the Scarred Manticore nadal się utrzymują i wiele wskazuje na to, że mogą się rozszerzać o inne regiony świata. Niewykrywalność frameworka LionTAIL, stanowi wyzwanie bezpieczeństwa. Niepokojący atak, który miał miejsce w maju 2021 r. na sieci rządowe Albanii przypomina jednocześnie o bliskiej współpracy i wymianie informacji między różnymi państwami.
Wojna, która rozpoczęła się rankiem 7 października pomiędzy Izraelem a Hamasem, również przyciągnęła uwagę wielu grup cyberprzestępczych. Podobnie jak w przypadku wojny rosyjsko-ukraińskiej, wiele osób i grup próbuje wykorzystać cyberprzestrzeń jako dodatkowe pole bitwy, mając na celu nie tylko wyrządzenie szkody, ale często także organizowanie kampanii informacyjnych i kształtowanie globalnych narracji.
