تو آوریل ۲۰۲۵ (که امروز آخرین روزش هم هست)، گروهی از هکرهایی که گفته وابسته به ایران هستند با نام UNC2428، یه کمپین پیچیده‌ی مهندسی اجتماعی رو علیه اهداف اسرائیلی اجرا کردن. این عملیات با استفاده از آگهی‌های شغلی جعلی به نام شرکت دفاعی اسرائیلی «رافائل» انجام شده و بدافزاری به نام MURKYTOUR رو توزیع کرده. که تو ادامه می‌خوایم این حمله رو کمی تحلیل کنیم.

🔹 یک. شناسایی اهداف (Reconnaissance)
👈 تکنیک‌های به‌کاررفته:
⬅ استفاده Passive OSINT از LinkedIn، GitHub، و Telegram
⬅ غربال‌گری افراد با علایق شغلی فعال (جستجوی کلمات کلیدی مثل “Looking for opportunities”)
⬅ فیلتر افراد مرتبط با شرکت‌های حساس (مثلاً Rafael Defense Systems)
👈 ابزارهای احتمالی:
⬅ یک. Maltego، SpiderFoot، recon-ng
⬅ دو. Custom scrapers (برای LinkedIn و صفحات استخدامی)

🔹 دو. ساخت زیرساخت فیشینگ (Infrastructure)
👈 دامنه جعلی:
⬅ دامنه rafael-careers[.]com یا مشابه اون
⬅ ثبت از طریق خدمات ناشناس (Namecheap + Whois Privacy)
👈 طراحی وب‌سایت:
⬅ شبیه‌سازی دقیق صفحه رسمی شرکت
⬅ اضافه کردن فرم بارگذاری رزومه (رزومه در واقع نقش trigger برای نصب بدافزار رو ایفا می‌کنه)
👈 گواهی SSL:
⬅ صادرشده از Let’s Encrypt
⬅ مرورگر قربانی خطری احساس نمی‌کنه (https فعال)

🔹 سه. طراحی Dropper (LONEFLEET)
👈 نوع فایل:
⬅ فایل اجرایی ویندوز با اسمی مثل RafaelConnect.exe
⬅ دولوپ شده با C# یا Visual Basic .NET
👈 رفتار Dropper:
نمایش فرم GUI فیک برای پرکردن اطلاعات شغلی
اجرا شدن ماژول بدافزاری تو بک‌گراند
انجام Persistence از طریق Scheduled Task و Registry: Run
👈 تکنیک‌های ضدتحلیل:
⬅ بررسی پردازش‌های تحلیل رایج (vboxservice، wireshark، procmon)
⬅ اجرای تأخیری (Sleep + Interaction Check)
⬅ تشخیص وجود موس یا کلیک برای جلوگیری از اجرا تو sandbox

🔹 چهار. بدافزار اصلی (MURKYTOUR)
👈 زبان و ساختار:
⬅ دولوپ شده بر پایه .NET یا C++
⬅ ساختار ماژولار
👈 عملکردها:
⬅ اجرای دستورات PowerShell
⬅ کی‌لاگر و اسکرین‌شات
⬅ استخراج فایل‌ها و session tokens
⬅ ایجاد کانال C2 با استفاده از HTTPS جعلی یا DNS tunneling
👈 روش ارتباط با C2:
⬅ استفاده از دامنه جعلی مانند cdn-sync-update[.]com
⬅ استفاده از TLS سفارشی یا reverse proxy برای پنهون کردن ترافیک

🔹 پنج. مکانیزم‌های جلوگیری از شناسایی (Evasion Techniques)
⬅ یک. Obfuscation: فشرده‌سازی و کدگذاری فایل اجرایی (مثلاً با ConfuserEx)
⬅ دو. AV Bypass: امضای دیجیتال نامعتبر + امتناع از استفاده از APIهای مشکوک
⬅ سه. Living Off The Land (LOTL): استفاده از ابزارهای داخلی ویندوز (rundll32, powershell, mshta)

🔹 شش. استخراج اطلاعات (Exfiltration)
⬅ استفاده از HTTPS POST برای ارسال اطلاعات حساس
⬅ چنل فشرده‌شده با gzip و disguise به عنوان ترافیک وب
⬅ انتقال فایل‌ها به صورت chunk شده

🔹 هفت. حفظ دسترسی (Persistence)
⬅ یک. HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateSvc
⬅ دو. Scheduled Task با نام جعلی: “Windows Defender Scheduler”
⬅ سه. ایجاد بکدور دوم به صورت PowerShell script تو پوشه %AppData%

🔹 هشت. اقدامات ضد تحلیل (OPSEC)
⬅ ارتباط دوره‌ای با C2، نه دائم
⬅ استفاده از beacon time تصادفی (Random jitter)
⬅ حذف خودکار فایل‌های dump و log بعد از نصب

🔹 نه. خطاهای احتمالی مهاجم
⬅ ارسال فایل اجرایی قابل تحلیل (.exe) بدون لایه dropper دوم می‌تونه تو sandbox بررسی بشه.
⬅ شباهت دامنه جعلی به دامنه واقعی ممکنه با بررسی DNS یا threat intel شناسایی بشه.
⬅ استفاده از TLS سلف سیگنیچر تو برخی کانفیگ‌ها می‌تونه ردفلگ باشه.