Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Hátsó ajtók SloppyMIO hátsó ajtó

SloppyMIO hátsó ajtó

Mezo -ra Hátsó ajtók, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Egy perzsa nyelven beszélő fenyegető szereplőt, akit az iráni állami érdekekkel hoztak összefüggésbe, azzal gyanúsítanak, hogy egy új kiberkémkedési kampányt szervez, amely nem kormányzati szervezeteket és a közelmúltbeli emberi jogi jogsértések dokumentálásában részt vevő magánszemélyeket céloz meg. Biztonsági kutatók 2026 januárjában azonosították a tevékenységet, és a RedKitten kódnevet adták neki.

Politikai kontextus és célzási stratégia

A kampány szorosan átfedésben van a 2025 végén kezdődött, széles körű iráni nyugtalansággal, amelyet a meredek infláció, az emelkedő élelmiszerárak és a súlyos valutaleértékelődés váltott ki. Az ezt követő kormányzati fellépések állítólag jelentős áldozatokat és elhúzódó internet-kimaradásokat eredményeztek. A művelet célja úgy tűnik, hogy kihasználja ezt a környezetet azáltal, hogy az eltűnt vagy elhunyt tüntetőkről információkat kereső emberekre pályázik, az érzelmi stresszt kihasználva sürgősségre ösztönözve és csökkentve a szkepticizmust.

Kezdeti fertőzési vektor és LLM-vezérelt fejlődés

A behatolási lánc egy 7-Zip archívummal kezdődik, amelynek fájlneve perzsa nyelvű. Belül Microsoft Excel táblázatok találhatók, amelyek rosszindulatú makrókat tartalmaznak. Ezek az XLSM fájlok állítólag a 2025. december 22. és 2026. január 20. között Teheránban megölt tüntetők listáját tartalmazzák; azonban az olyan ellentmondások, mint az eltérő életkorok és születési dátumok, arra utalnak, hogy az adatok hamisítottak. Amikor a makrók engedélyezve vannak, egy VBA alapú dropper egy „AppVStraamingUX_Multi_User.dll” nevű C# implantátumot telepít AppDomainManager injekció használatával.

A kódelemzés arra utal, hogy a fejlesztés során valószínűleg nagy nyelvi modelleket használtak, a makró szerkezete, elnevezési konvenciói és az automatizált vagy utasításszerű promptokra emlékeztető beágyazott megjegyzések alapján.

SloppyMIO hátsó ajtó architektúra és képességek

A SloppyMIO néven azonosított beültetett hátsó ajtó nagymértékben támaszkodik legitim felhő- és együttműködési platformokra. A GitHubot használják hibajavító feloldóként, hogy szteganográfia segítségével megszerezzék azokat a Google Drive URL-eket, amelyek olyan képeket tartalmaznak, amelyek konfigurációs adatokat rejtenek. A kinyerett beállítások tartalmazzák a Telegram bot hitelesítő adatait, a csevegési azonosítókat és a további hasznos adatokra mutató linkeket.

A SloppyMIO több funkcionális modult támogat, amelyek lehetővé teszik a parancsok végrehajtását, a fájlok gyűjtését és kiszűrését, a hasznos adatok telepítését, az ütemezett feladatokon keresztüli adatmegőrzést és a folyamatok végrehajtását. A rosszindulatú program igény szerint letöltheti, gyorsítótárazhatja és futtathatja ezeket a modulokat, széleskörű irányítást biztosítva a feltört rendszerek felett.

A támogatott funkcionális modulok a következők:

  • Parancsok végrehajtása a Windows parancsértelmezőn keresztül
  • Fájlgyűjtés és ZIP-alapú kiszűrés Telegram API-korlátoknak megfelelő méretben
  • Fájlírás helyi alkalmazásadat-könyvtárba képkódolt hasznos adatok használatával
  • Ütemezett feladat létrehozása ismétlődő végrehajtáshoz
  • Önkényes folyamatindítás
  • Parancsnokság és irányítás Telegramon keresztül

A moduláris hasznos teher kézbesítésén túl a SloppyMIO folyamatos kommunikációt tart fenn operátoraival a Telegram Bot API segítségével. Az implantátum jelzi a rendszer állapotát, utasításokat kér, és a gyűjtött adatokat Telegram csevegéseken keresztül továbbítja, miközben egy különálló parancs- és vezérlő végpontról közvetlen feladatkiosztást is támogat.

A megfigyelt operátori parancsok a következők:

  • Fájlgyűjtés és -kiszivárgás indítása
  • Tetszőleges shell parancsok végrehajtása
  • Megadott alkalmazások vagy folyamatok indítása

Attribúció és történelmi párhuzamok

Az Iránhoz kötődő szereplőknek való tulajdonítás több mutatón alapul: perzsa nyelvű tárgyakon, a belföldi zavargásokhoz kapcsolódó csalitémákon és a korábbi kampányokkal való taktikai átfedéseken. Figyelemre méltó hasonlóságok mutatkoznak a Tortoiseshellhez tulajdonított műveletekkel, amelyek korábban rosszindulatú Excel-fájlokat és AppDomainManager injekciót használtak vissza, valamint egy 2022-es kampánnyal, amely egy Nemesis Kitten alkiosztrófhoz kapcsolódott, és amely a GitHubot használta a Drokbk hátsó ajtó terjesztésére. A mesterséges intelligencia által támogatott eszközök egyre növekvő használata tovább bonyolítja a szereplők megkülönböztetését és a hozzárendelési magabiztosságot.

Párhuzamos adathalász műveletek és szélesebb körű hatás

A nyomozók különben felfedtek egy WhatsAppon keresztül végrehajtott adathalász kampányt, amely egy DuckDNS domainen üzemeltetett hamis WhatsApp webes felületet használ. Az oldal folyamatosan lekérdezi a támadó által vezérelt végpontot, hogy élő QR-kódot jelenítsen meg, amely a támadó saját WhatsApp webes munkamenetéhez kapcsolódik. A kódot beolvasó áldozatok tudtukon kívül hitelesítik a támadót, teljes fiókhozzáférést biztosítva számukra. Az adathalász infrastruktúra böngészőengedélyeket is kér a kamerához, a mikrofonhoz és a geolokációhoz, így gyakorlatilag valós idejű megfigyelést tesz lehetővé.

További megállapítások arra utalnak, hogy hamisított bejelentkezési oldalakon keresztül Gmail-hitelesítő adatok, köztük jelszavak és kétfaktoros hitelesítési kódok megszerzésére irányuló tevékenység is történt. Körülbelül 50 személyt érintett az adathalász tevékenység, köztük a kurd közösség tagjait, akadémikusokat, kormányzati személyzetet, üzleti vezetőket és más magas rangú személyiségeket. Az adathalász törekvések mögött álló operátorok kiléte és pontos indítékaik továbbra sem ismertek.

Műveleti kereskedelmi és védekezési vonatkozások

Az olyan kommodifikált platformok, mint a GitHub, a Google Drive és a Telegram széles körű használata akadályozza a hagyományos infrastruktúra-alapú követést, miközben egyidejűleg kihasználható metaadatokat és működési biztonsági kockázatokat jelent a támadók számára. A mesterséges intelligencia fenyegető szereplők általi növekvő elterjedésével együtt az olyan kampányok, mint a RedKitten, rávilágítanak arra, hogy a védőknek a viselkedéselemzésre, a tartalomellenőrzésre és a felhasználói tudatosságra kell összpontosítaniuk, ahelyett, hogy kizárólag az infrastruktúra-indikátorokra hagyatkoznának.

Felkapott

Domainhiba-értesítéssel kapcsolatos e-mailes átverés

Adathalászat, Spam
A váratlan e-mailek kezelésekor elengedhetetlen az éberség. A kiberbűnözők gyakran kihasználják a bizalmat és a sürgősséget, hogy a címzetteket káros döntések meghozatalára kényszerítsék. A csaló üzeneteket gyakran gondosan úgy alakítják ki, hogy legitimnek tűnjenek, annak ellenére, hogy nem kapcsolódnak valódi vállalatokhoz, szervezetekhez vagy szolgáltatókhoz. Az egyik ilyen online terjedő...

Legnézettebb

Betöltés...