Обычное обновление Zoom и вы уже взломаны. Иранские хакеры научились маскировать закреп под стандартные задачи Windows
NewsMaker«SQL Developer скачать бесплатно» — и добро пожаловать в КСИР.
Иранская группировка Nimbus Manticore вернулась с новой кампанией на фоне операции Operation Epic Fury . Атакующие маскировали вредоносные файлы под вакансии, установщик Zoom и страницу загрузки SQL Developer, чтобы добраться до сотрудников авиационных, оборонных и программных компаний в США, Европе и на Ближнем Востоке.
Группировку связывают с Корпусом стражей исламской революции (КСИР). Ранее Nimbus Manticore, также известная как UNC1549, чаще использовала письма с поддельными предложениями о работе. Теперь злоумышленники расширили набор приёмов. В одной из кампаний жертвам предлагали скачать архив с платформы OnlyOffice, где под видом материалов о вакансии находились легитимный файл Microsoft, настроечный файл и вредоносная библиотека.
Чтобы запустить вредоносный код, группировка использовала захват домена приложений .NET. Такой приём позволяет заставить легитимную программу при старте загрузить чужую библиотеку. Когда программа запускалась, жертва видела фальшивое сообщение об ошибке, а на компьютере разворачивался следующий этап заражения, включая новую версию MiniJunk.
Во время Operation Epic Fury атакующие перешли к более сложной цепочке. Они подготовили заражённый установщик Zoom, который запускал настоящий установщик программы, чтобы пользователь не заметил подвоха. Параллельно вредоносная программа ждала, когда в планировщике Windows появится штатная задача обновления Zoom, и затем подменяла её, чтобы закрепиться в системе под видом обычной активности.
В этой кампании Nimbus Manticore впервые использовала новый инструмент MiniFast. Это вредоносная программа для удалённого управления заражённым компьютером. MiniFast умеет получать команды с сервера управления, запускать команды через командную строку, просматривать процессы и диски, загружать и выгружать файлы, удалять данные, создавать архивы, завершать процессы и пытаться получить повышенные права.
Специалисты Check Point также нашли признаки того, что часть кода могла быть написана или доработана с помощью инструментов на базе искусственного интеллекта. На это указывают чрезмерно подробная обработка ошибок, длинные описательные названия функций, множество отладочных сообщений и довольно модульная структура для сравнительно простой вредоносной программы.
После прекращения огня группировка попробовала ещё один способ доставки вредоносного ПО. В апреле появился поддельный сайт getsqldeveloper[.]com, который выдавал себя за страницу загрузки SQL Developer. Злоумышленники зарегистрировали десятки доменов, ссылавшихся на этот сайт, и набили страницы поисковыми фразами вроде «Download SQL Developer», чтобы поднять подделку в выдаче Bing и DuckDuckGo.
Цели Nimbus Manticore по-прежнему связаны с секторами, которые интересуют иранскую разведку. Группировка атакует оборонные, телекоммуникационные, авиационные и программные компании, а в последней кампании заметно усилила фокус на авиационных организациях в США.
Иранская группировка Nimbus Manticore вернулась с новой кампанией на фоне операции Operation Epic Fury . Атакующие маскировали вредоносные файлы под вакансии, установщик Zoom и страницу загрузки SQL Developer, чтобы добраться до сотрудников авиационных, оборонных и программных компаний в США, Европе и на Ближнем Востоке.
Группировку связывают с Корпусом стражей исламской революции (КСИР). Ранее Nimbus Manticore, также известная как UNC1549, чаще использовала письма с поддельными предложениями о работе. Теперь злоумышленники расширили набор приёмов. В одной из кампаний жертвам предлагали скачать архив с платформы OnlyOffice, где под видом материалов о вакансии находились легитимный файл Microsoft, настроечный файл и вредоносная библиотека.
Чтобы запустить вредоносный код, группировка использовала захват домена приложений .NET. Такой приём позволяет заставить легитимную программу при старте загрузить чужую библиотеку. Когда программа запускалась, жертва видела фальшивое сообщение об ошибке, а на компьютере разворачивался следующий этап заражения, включая новую версию MiniJunk.
Во время Operation Epic Fury атакующие перешли к более сложной цепочке. Они подготовили заражённый установщик Zoom, который запускал настоящий установщик программы, чтобы пользователь не заметил подвоха. Параллельно вредоносная программа ждала, когда в планировщике Windows появится штатная задача обновления Zoom, и затем подменяла её, чтобы закрепиться в системе под видом обычной активности.
В этой кампании Nimbus Manticore впервые использовала новый инструмент MiniFast. Это вредоносная программа для удалённого управления заражённым компьютером. MiniFast умеет получать команды с сервера управления, запускать команды через командную строку, просматривать процессы и диски, загружать и выгружать файлы, удалять данные, создавать архивы, завершать процессы и пытаться получить повышенные права.
Специалисты Check Point также нашли признаки того, что часть кода могла быть написана или доработана с помощью инструментов на базе искусственного интеллекта. На это указывают чрезмерно подробная обработка ошибок, длинные описательные названия функций, множество отладочных сообщений и довольно модульная структура для сравнительно простой вредоносной программы.
После прекращения огня группировка попробовала ещё один способ доставки вредоносного ПО. В апреле появился поддельный сайт getsqldeveloper[.]com, который выдавал себя за страницу загрузки SQL Developer. Злоумышленники зарегистрировали десятки доменов, ссылавшихся на этот сайт, и набили страницы поисковыми фразами вроде «Download SQL Developer», чтобы поднять подделку в выдаче Bing и DuckDuckGo.
Цели Nimbus Manticore по-прежнему связаны с секторами, которые интересуют иранскую разведку. Группировка атакует оборонные, телекоммуникационные, авиационные и программные компании, а в последней кампании заметно усилила фокус на авиационных организациях в США.