Cyberthreat.id - Aktor ancaman yang berafiliasi dengan Kementerian Intelijen dan Keamanan Iran (MOIS) melancarkan aktivitas spionase dunia maya canggih.

Mereka menargetkan sektor keuangan, pemerintahan, militer, dan telekomunikasi di Timur Tengah selama setidaknya satu tahun.

The Hacker News menuliskan, perusahaan keamanan siber Israel, Check Point, yang menemukan aktivitas tersebut bersama Sygnia, sedang melacak aktor dengan nama Scarred Manticore.

Aktor tersebut disebut terkait dengan kelompok baru yang dijuluki Storm-0861, salah satu dari empat kelompok Iran yang terkait dengan serangan destruktif terhadap Pemerintah Albania tahun lalu.

Korban operasi tersebut tersebar di berbagai negara seperti Arab Saudi, Uni Emirat Arab, Yordania, Kuwait, Oman, Irak, dan Israel.

Manticore yang terluka juga menunjukkan beberapa tingkat tumpang tindih dengan OilRig, kru negara Iran lainnya yang baru-baru ini dikaitkan dengan serangan terhadap pemerintah Timur Tengah yang tidak disebutkan namanya antara bulan Februari dan September 2023 sebagai bagian dari aktivitas selama delapan bulan.

Satu set tumpang tindih taktis lainnya telah ditemukan antara musuh dan set intrusi dengan nama sandi ShroudedSnooper oleh Cisco Talos.

Rantai serangan yang diatur oleh pelaku ancaman telah menargetkan penyedia telekomunikasi di Timur Tengah dengan menggunakan backdoor tersembunyi yang dikenal sebagai HTTPSnoop.

Aktivitas yang diwakili oleh Scarred Manticore ditandai dengan penggunaan kerangka malware pasif yang sebelumnya tidak diketahui yang disebut LIONTAIL yang diinstal pada server Windows. Aktor ancaman tersebut diyakini aktif setidaknya sejak tahun 2019.

“Scarred Manticore telah mengejar target bernilai tinggi selama bertahun-tahun, memanfaatkan berbagai backdoor berbasis IIS untuk menyerang server Windows,” kata peneliti Check Point dalam analisis hari Selasa.

"Ini termasuk berbagai web shell khusus, pintu belakang DLL khusus, dan implan berbasis driver."

Sebuah malware tingkat lanjut, LIONTAIL adalah kumpulan pemuat kode shell khusus dan muatan kode shell residen memori.

Komponen penting dari kerangka kerja ini adalah implan ringan namun canggih yang ditulis dalam C yang memungkinkan penyerang menjalankan perintah dari jarak jauh melalui permintaan HTTP.

Rangkaian serangan tersebut memerlukan penyusupan ke server Windows secara publik untuk memulai proses pengiriman malware dan secara sistematis mengumpulkan data sensitif dari host yang terinfeksi.

“Alih-alih menggunakan API HTTP, malware ini menggunakan IOCTL untuk berinteraksi langsung dengan driver HTTP.sys yang mendasarinya,” kata para peneliti, merinci mekanisme perintah dan kontrol (C2).

“Pendekatan ini lebih tersembunyi karena tidak melibatkan IIS atau HTTP API, yang biasanya dipantau secara ketat oleh solusi keamanan, namun bukan tugas yang mudah mengingat IOCTL untuk HTTP.sys tidak terdokumentasi dan memerlukan upaya penelitian tambahan oleh pelaku ancaman."

Juga diterapkan bersama LIONTAIL mencakup berbagai shell web dan alat penerus web yang disebut LIONHEAD, penerus web.

Aktivitas historis Scarred Manticore menunjukkan evolusi berkelanjutan dari gudang malware grup tersebut, dimana pelaku ancaman sebelumnya mengandalkan shell web seperti Tunna dan versi khusus yang disebut FOXSHELL untuk akses pintu belakang.

Sejak pertengahan tahun 2020, pelaku ancaman juga dikatakan telah menggunakan pintu belakang pasif berbasis .NET yang disebut SDD yang menjalin komunikasi C2 melalui pendengar HTTP pada mesin yang terinfeksi dengan tujuan akhir menjalankan perintah sewenang-wenang, mengunggah dan mengunduh file, dan menjalankan rakitan .NET tambahan.

Pembaruan progresif pada taktik dan alat yang digunakan pelaku ancaman merupakan ciri khas kelompok ancaman persisten tingkat lanjut (APT) dan menunjukkan sumber daya serta beragam keterampilan mereka.

Hal ini paling baik dicontohkan oleh penggunaan driver kernel jahat bernama WINTAPIX oleh Scarred Manticore yang ditemukan oleh Fortinet awal Mei ini.

Singkatnya, WinTapix.sys bertindak sebagai pemuat untuk mengeksekusi tahap serangan berikutnya, memasukkan kode shell yang tertanam ke dalam proses mode pengguna yang sesuai, yang pada gilirannya, mengeksekusi muatan .NET terenkripsi yang dirancang khusus untuk menargetkan Layanan Informasi Internet Microsoft (IIS) server.

Penargetan Israel terjadi di tengah perang Israel-Hamas yang sedang berlangsung, yang mendorong kelompok-kelompok hacktivist berteknologi rendah untuk menyerang berbagai organisasi di negara tersebut, serta negara-negara seperti India dan Kenya, yang menunjukkan ketergantungan aktor-aktor negara pada operasi informasi yang bertujuan untuk mempengaruhi Israel.

“Komponen kerangka LIONTAIL berbagi kebingungan dan artefak string yang serupa dengan driver FOXSHELL, SDD backdoor, dan WINTAPIX,” kata Check Point.

“Melihat sejarah aktivitas mereka, menjadi jelas seberapa jauh pelaku ancaman telah meningkatkan serangan mereka dan meningkatkan pendekatan mereka yang mengandalkan implan pasif.”[]