Где прячется мантикора? В цифровых сетях ближневосточных организаций

Специалисты Check Point в сотрудничестве с командой реагирования на инциденты Sygnia обнародовали информацию о деятельности иранской группы киберпреступников под названием Scarred Manticore. Отмечается, что группировка, связанная с Министерством разведки и безопасности Ирана, на протяжении последнего года осуществляла скрытные операции шпионажа на Ближнем Востоке с использованием фреймворка для создания вредоносных программ под кодовым именем LIONTAIL.

Основное внимание Scarred Manticore уделено секторам правительства, военных структур, телекоммуникаций, информационных технологий, финансов и неправительственных организаций в регионе, что свидетельствует о целенаправленном поиске и сборе ценных данных.

По словам исследователей, тактика группировки значительно эволюционировала за последнее время: от простых атак через веб-оболочки на сервера Windows группа перешла к использованию продвинутого фреймворка с мощным набором инструментов, включающим как авторские, так и свободно распространяемые компоненты. Это свидетельствует о повышении уровня кибервозможностей хакеров Scarred Manticore.

В рамках фреймворка LIONTAIL используются кастомизированные загрузчики и резидентные в памяти шелл-коды, которые эксплуатируют недокументированные функции драйвера HTTP.sys, что позволяет операции Scarred Manticore оставаться незаметными в легитимном сетевом трафике.

Помимо шпионажа в деятельности группировки прослеживается причастность к разрушительным атакам, спонсируемым MOIS против инфраструктуры правительства Албании. Длительное наблюдение за деятельностью Scarred Manticore свидетельствует о стремлении хакеров к получению и извлечению конфиденциальных данных.

Завершая отчёт, эксперты подчёркивают, что операции Scarred Manticore, вероятно, будут продолжаться, расширяясь на другие регионы и цели, соответствующие долгосрочным интересам Ирана. Тем временем, сложность обнаружения фреймворка LIONTAIL, который избегает стандартных методов мониторинга, ставит перед специалистами серьёзные задачи.

Национальные киберпреступные объединения продолжают эволюционировать, подчёркивая необходимость бдительности и усиления мер кибербезопасности для защиты организаций от всё более сложных и настойчивых тактик злоумышленников.