Palo Alto Networks Unit 42 har presenterat en ny rapport om cyberspionagekampanjer från en iransk APT-grupp som riktar sig mot USA, Israel, Förenade Arabemiraten och andra länder i samband med den pågående konflikten.
De som attackerar använder nya, avancerade metoder och riktar in sig på anställda genom phishingkampanjer som maskeras som jobbrekrytering.
Unit 42 benämner aktören Screening Serpens (även känd som Smoke Sandstorm, Iranian Dream Job och UNC1549). Gruppen har fortsatt att bedriva intensiva spionagekampanjer även när internetinfrastrukturen och ledningscentralerna i regionen låg nere.
Ytterligare detaljer:
- Screening Serpens är inspirerad av Nordkorea i det att de använder mycket sofistikerade ”rekryteringsbeten” för att rikta sig mot mjukvaruingenjörer. Gruppen utgav sig för att vara välkända varumärken och rekryteringsplattformar för att skapa förtroende och lura måltavlor att initiera cyberinfektionen.
- Ny metod för att undvika upptäckt – AppDomain hijacking: Unit 42 har identifierat en förändring i hur gruppen kör sin skadliga kod. Genom att manipulera initieringsfasen i .NET-applikationer kan aktören kringgå traditionell säkerhetstelemetri redan innan många standardskydd på endpoint-nivå hunnit aktiveras fullt ut. Metoden gör det möjligt för angriparna att etablera persistens och behålla kontroll över dataexfiltration.
Elad Koren, VP Product Management på Palo Alto Networks, säger:
”När APT-grupper som Screening Serpens fortsätter att utvecklas och utnyttja avancerade frontier AI-teknologier räcker inte längre traditionella endpoint-säkerhetslösningar till. Moderna organisationer behöver ett försvar baserat på flera lager och beteendeanalys. Genom att fokusera på att identifiera avvikande beteenden redan vid installationstillfället – i det här fallet AppDomain Hijacking eller avstängning av systemtelemetri – kan försvarare stoppa sofistikerade attackkedjor innan de får fäste. Att övervaka applikationers logik och beteende är nu en grundförutsättning för proaktivt cyberskydd.”
