Potężna broń irańskiej grupy cyberszpiegowskiej. Jej członków trudno namierzyć
Irańska grupa cyberwywiadowcza Scarred Manticore dysponuje zaawansowanymi technologiami, które umożliwiają jej prowadzenie skomplikowanych i trudnych do wykrycia operacji szpiegowskich. Wśród jej celów znalazły się różne instytucje, takie jak rządy, wojsko, firmy informatyczne, instytucje i organizacje pozarządowe, zwłaszcza te zlokalizowane na Bliskim Wschodzie - takie informacje przekazują specjaliści z Check Point Research. Dodatkowo, taktyka działania tej grupy jest w ciągłym procesie ewolucji, co sugeruje, że Scarred Manticore nie powiedziała ostatniego słowa.
Dzięki współpracy pomiędzy Check Point Research (CPR) i Zespołem Reagowania na Incydenty Sygnia, udało się ujawnić działania Scarred Manticore, irańskiej grupy cybernetycznej. Ustalono, że grupa ta, powiązana z irańskim DEV-0861 oraz w pewnym stopniu z platformą OilRig, mogła w przeszłości naruszać bezpieczeństwo różnych organizacji, wykorzystując do tego celu specjalnie dostosowane narzędzia szpiegowskie.
W arsenale Scarred Manticore znajduje się platforma LionTAIL, bazująca na niestandardowych modułach ładujących i ładunkach kodu powłoki, które są przechowywane w pamięci. Implant DLL, który jest częścią tej platformy, umożliwia grupie płynne łączenie działań złośliwych z legalnym ruchem sieciowym.
LionTAIL można porównać do tajnej broni Scarred Manticore. To zaawansowane technologicznie narzędzie szpiegowskie, które wykorzystuje niestandardowe moduły ładujące i specjalne kody przechowywane w pamięci komputera. Dodatkowo, przejmuje sterownik HTTP.sys, wykorzystując jego ukryte funkcje, co pozwala Scarred Manticore przeprowadzać cyberataki bez wzbudzania podejrzeń, wtapiając się w normalną aktywność sieciową. Działają jak cyfrowy kameleon, niezauważalnie przemieszczając się po sieci.
Dalsza część artykułu pod materiałem wideo
Mimo że głównym celem Scarred Manticore jest szpiegostwo, niektóre z ich narzędzi zostały powiązane z częścią ataków niszczycielskich na infrastrukturę rządu albańskiego, które były sponsorowane przez MOIS (irańskie Ministerstwo Wywiadu i Bezpieczeństwa) (DEV-0861). Działania tej grupy cyberprzestępczej są monitorowane od wielu lat - ich głównym celem jest tajne dostępy i ekstrakcja danych.
Operacje prowadzone przez Scarred Manticore nadal trwają i istnieje duże prawdopodobieństwo, że mogą się one rozszerzyć na inne regiony świata. Trudność w wykryciu frameworka LionTAIL stanowi duże wyzwanie dla bezpieczeństwa. Atak, który miał miejsce w maju 2021 r. na sieci rządowe Albanii, przypomina o konieczności bliskiej współpracy i wymiany informacji między różnymi krajami.
Konflikt, który wybuchł 7 października między Izraelem a Hamasem, przyciągnął uwagę wielu grup cyberprzestępczych. Podobnie jak w przypadku konfliktu rosyjsko-ukraińskiego, wiele osób i grup próbuje wykorzystać cyberprzestrzeń jako dodatkowe pole bitwy, mając na celu nie tylko wyrządzenie szkody, ale często także organizowanie kampanii informacyjnych i kształtowanie globalnych narracji.
