عامل تهدید ایرانی معروف به UNC2428، در کمپین مهندسی اجتماعی با موضوع استخدام که اسرائیل را در اکتبر ۲۰۲۴ هدف قرار داده است، دربپشتی MURKYTOUR را ارائه میدهد.
شرکت Mandiant گوگل، UNC2428 را به عنوان عامل تهدید همسو با ایران توصیف کرد که در عملیات مرتبط با جاسوسی سایبری مشارکت دارد. گفته میشود که این مجموعه نفوذ، بدافزار را از طریق “زنجیرهای پیچیده از تکنیکهای فریب” توزیع کرده است. افراد با فریب به استخدام به سایت Rafael هدایت شدند که از آنها خواسته میشد ابزاری را برای کمک به درخواست شغل دانلود کنند. این ابزار (“RafaelConnect.exe“) یک نصبکننده به نام LONEFLEET بود که پس از اجرا، رابط کاربری گرافیکی (GUI) را به قربانی ارائه میداد تا با ورود اطلاعات شخصی، رزومه خود را ارسال کند. سپس دربپشتی MURKYTOUR به عنوان فرآیند پسزمینه از طریق لانچری به نام LEAFPILE اجرا شده و دسترسی مداوم به دستگاه آسیبپذیر را برای نفوذگران فراهم کرد. عوامل UNC2428، رابطهای کاربری گرافیکی (GUI) را برای پنهانسازی اجرا و نصب بدافزار به عنوان اپلیکیشن یا نرمافزارهای قانونی در نظر گرفتند. افزودن رابط کاربری گرافیکی که نصبکننده معمولی را به کاربر ارائه میدهد و برای تقلید از شکل و عملکرد طعمه مورد استفاده پیکربندی شده است، میتواند سوءظن افراد هدف را کاهش دهد. شایان ذکر است که این کمپین با فعالیت منتسب به عامل تهدید ایرانی به نام Black Shadow همپوشانی دارد.
https://thehackernews.com/2025/04/iran-linked-hackers-target-israel-with.html
