Новости Иранские хакеры копируют Lazarus Group: случайное совпадение или тайный союз?

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Поддельные вакансии и кибершпионаж снова угрожают аэрокосмической отрасли.


d950mfd3zp6iz13ga6s7afurj9c40eg6.jpg


Иранская хакерская группа TA455 использует тактику, схожую с методами северокорейской Lazarus Group, чтобы атаковать аэрокосмическую отрасль, предлагая поддельные вакансии с сентября 2023 года. Для просмотра ссылки Войди или Зарегистрируйся израильская компания ClearSky , злоумышленники распространяют вредоносное ПО SnailResin, которое активирует бэкдор SlugResin.

TA455, также известная как UNC1549 и Yellow Dev 13, является подразделением APT35, известной под разными названиями — Charming Kitten, CharmingCypress, ITG18 и другими. Считается, что группа аффилирована с Корпусом стражей исламской революции (КСИР).

С начала 2023 года TA455 нацелилась на аэрокосмическую и оборонную отрасли в странах Ближнего Востока, таких как Израиль, ОАЭ и Турция. Атаки основаны на социальной инженерии с использованием поддельных предложений о работе для внедрения бэкдоров MINIBIKE и MINIBUS. Компания Proofpoint Для просмотра ссылки Войди или Зарегистрируйся что злоумышленники часто используют фальшивые компании для контакта с жертвами.

Как оказалось, TA455 уже использовала подобные уловки в прошлом, представляясь рекрутерами в соцсетях, включая поддельные фотографии, сгенерированные ИИ, и имитируя существующих людей. Об этом Для просмотра ссылки Войди или Зарегистрируйся в своём отчёте компания PwC .

ClearSky отмечает, что TA455 использует схожие методы с северокорейской Lazarus Group, включая загрузку DLL-библиотек через поддельные сайты и профили в LinkedIn. Это может указывать либо на попытки запутать расследование, либо на обмен инструментами между группировками.

Злоумышленники применяют многоэтапные атаки с использованием фишинговых писем, замаскированных под рабочие документы, и архивов ZIP с вредоносным кодом. Они также используют GitHub для сокрытия командных серверов, что позволяет маскировать трафик и обходить защиту.

Таким образом, киберпреступники всё изощрённее используют уловки, копируя методы друг друга и размывая границы между атаками разных государств. Это напоминает правило, отличное применимое в том числе для ИБ-сферы: доверяй, но проверяй — особенно если предложение выглядит слишком заманчиво
 
Источник новости
www.securitylab.ru

Похожие темы