به ادعای هکرنیوز، یک گروه تهدید دائمی پیشرفته (APT) که با ایران ارتباط دارد، مجموعه ابزار بدافزار خود را بروزرسانی کرده است تا backdoor جدیدی به نام Marlin را به عنوان بخشی از یک کمپین جاسوسی طولانیمدت که درآوریل ۲۰۱۸ آغاز شده است، شامل شود.
شرکت امنیت سایبری اسلواکی ESET این حملات را که با اسم رمز “Out to Sea” از آن یاد شده، در حالی که به طور قطعی فعالیتهای خود را به گروه دوم ایرانی که تحت نام Lyceum ردیابی میشود (Hexane با نام مستعار SiameseKitten) مرتبط میداند، به یک عامل تهدید به نام OilRig (معروف به APT34) نسبت داده است.
مجموعه ESET در گزارش تهدید T3 ۲۰۲۱ خود که با هکر نیوز به اشتراک گذاشته است، خاطرنشان کرد: “قربانیان این کمپین شامل سازمانهای دیپلماتیک، شرکتهای فناوری، و سازمانهای پزشکی در اسرائیل، تونس و امارات متحده عربی هستند”.
طبق این ادعا، این گروه هکری که حداقل از سال ۲۰۱۴ فعال است، به دولتهای خاورمیانه و بسیاری از بخشهای تجاری از جمله صنایع شیمیایی، انرژی، مالی و مخابراتی حمله میکند. درآوریل ۲۰۲۱، این عامل سایبری یک نهاد لبنانی را با ایمپلنتی به نام SideTwist هدف قرار داد. از طرفی نیز، کمپینهایی که قبلاً به Lyceum نسبت داده شده بود، شرکتهای فناوری اطلاعات در اسرائیل، مراکش، تونس و عربستان سعودی را هدف گرفته بودند.
زنجیرههای آلودگی Lyceum همچنین به این دلیل قابل توجه هستند که از زمانی که کمپین در سال ۲۰۱۸ آشکار شد (با DanBot شروع شد و در سال ۲۰۲۱ به Shark و Milan منتقل شد) با حملاتی که در آگوست ۲۰۲۱ شناسایی شدند، باعث نفوذ مجموعه جدید دادههای بدافزاری به نام مارلین شدند.
تغییرات به همین جا ختم نمیشود. با تفاوت قابل توجهی از OilRig TTPهای سنتی، که شامل استفاده از DNS و HTTPS برای ارتباطات command-and-control (C&C) میشود، مارلین از OneDrive API مایکروسافت برای عملیات C2 خود استفاده میکند.
مجموعه ESET، با اشاره به اینکه دسترسی اولیه به شبکه با استفاده از spear-phishing و همچنین دسترسی از راه دور و نرمافزارهای مدیریتی مانند ITbrain و TeamViewer به دست آمده، شباهتها در ابزارها و تاکتیکهای بین backdoorهای OilRig و Lyceum را “بیش از حد متعدد و خاص” عنوان کرد.
محققان میگویند: «backdoor متعلق به ToneDeaf در اصل با C&C خود از طریق HTTP/S ارتباط برقرار میکرد، اما شامل یک روش ثانویه، تونلینگ DNS بود که به درستی کار نمیکند. Shark علائم مشابهی دارد و در جایی روش ارتباطی اولیه آن از DNS استفاده میکند اما یک گزینه ثانویه HTTP/S غیر کاربردی دارد».
اساساً ToneDeaf که از جمعآوری اطلاعات سیستم، آپلود و دانلود فایلها و اجرای دستورات shell دلخواه پشتیبانی میکند؛ این مورد، یک خانواده بدافزار است که توسط عامل APT34 با هدف قرار دادن طیف گستردهای از صنایع فعال در خاورمیانه در جولای ۲۰۱۹ به کار گرفته شده است.
علاوه بر این، یافتهها همچنین به استفاده همپوشانی از DNS بعنوان یک کانال ارتباطی C&C اشاره کرد؛ در حالی که از HTTP/S به عنوان یک روش ارتباطی ثانویه و استفاده از فولدرهای متعدد در دایرکتوری فعال یک Backdoor برای آپلود و دانلود فایلها از سرور C&C استفاده میشود.