Educated Manticore
A Check Point Research kutatói az Educated Manticore hackereket a jól ismert, Phosphorus APT csoporttal kapcsolták össze. Az újonnan felfedezett fertőzési láncokat elemezték, amelyek az Educated Manticore-nak, az iráni állami érdekekhez igazodó fenyegető szereplőnek tulajdoníthatók. A Check Point Research megfigyelései alapján, az Educated Manticore tovább fejlődik, finomítja a korábban megfigyelt eszközkészleteket és használt eljárásokat.
A kutatás egy új és továbbfejlesztett fertőzési láncot mutat be, amely a PowerLess új verziójának alkalmazást ismerteti. Ezt az implantátumot a korábban a Phosphorus használta. A Check Point kifejtette, hogy bár az Educated Manticore által telepített PowerLess payload hasonló volt a Phosphorus-hoz, a betöltési mechanizmusai jelentősen javultak, ritkán látott technikákra használnak, köztük a vegyes módban, C++ kóddal létrehozott .NET bináris fájlok használatát.
Sok más szereplőhöz hasonlóan az Educated Manticore is átvette a legújabb trendeket, és elkezdett ISO-képeket és esetleg más tömörített fájlokat használni fertőzési láncok indítására. A jelentésben olyan iraki témájú csalikat mutatunk be, amelyek nagy valószínűséggel izraeli entitásokat céloznak meg.
A Check Point Research kutatói megosztották az azonosításhoz szükséges mutatókat is.