Иранские хакеры копируют Lazarus Group: случайное совпадение или тайный союз?

Иранские хакеры копируют Lazarus Group: случайное совпадение или тайный союз?

Поддельные вакансии и кибершпионаж снова угрожают аэрокосмической отрасли.

image

Иранская хакерская группа TA455 использует тактику, схожую с методами северокорейской Lazarus Group, чтобы атаковать аэрокосмическую отрасль, предлагая поддельные вакансии с сентября 2023 года. Как сообщает израильская компания ClearSky, злоумышленники распространяют вредоносное ПО SnailResin, которое активирует бэкдор SlugResin.

TA455, также известная как UNC1549 и Yellow Dev 13, является подразделением APT35, известной под разными названиями — Charming Kitten, CharmingCypress, ITG18 и другими. Считается, что группа аффилирована с Корпусом стражей исламской революции (КСИР).

С начала 2023 года TA455 нацелилась на аэрокосмическую и оборонную отрасли в странах Ближнего Востока, таких как Израиль, ОАЭ и Турция. Атаки основаны на социальной инженерии с использованием поддельных предложений о работе для внедрения бэкдоров MINIBIKE и MINIBUS. Компания Proofpoint сообщает, что злоумышленники часто используют фальшивые компании для контакта с жертвами.

Как оказалось, TA455 уже использовала подобные уловки в прошлом, представляясь рекрутерами в соцсетях, включая поддельные фотографии, сгенерированные ИИ, и имитируя существующих людей. Об этом подробно рассказала в своём отчёте компания PwC.

ClearSky отмечает, что TA455 использует схожие методы с северокорейской Lazarus Group, включая загрузку DLL-библиотек через поддельные сайты и профили в LinkedIn. Это может указывать либо на попытки запутать расследование, либо на обмен инструментами между группировками.

Злоумышленники применяют многоэтапные атаки с использованием фишинговых писем, замаскированных под рабочие документы, и архивов ZIP с вредоносным кодом. Они также используют GitHub для сокрытия командных серверов, что позволяет маскировать трафик и обходить защиту.

Таким образом, киберпреступники всё изощрённее используют уловки, копируя методы друг друга и размывая границы между атаками разных государств. Это напоминает правило, отличное применимое в том числе для ИБ-сферы: доверяй, но проверяй — особенно если предложение выглядит слишком заманчиво

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!