Поддельные вакансии и кибершпионаж снова угрожают аэрокосмической отрасли.
Иранская хакерская группа TA455 использует тактику, схожую с методами северокорейской Lazarus Group, чтобы атаковать аэрокосмическую отрасль, предлагая поддельные вакансии с сентября 2023 года. Как сообщает израильская компания ClearSky, злоумышленники распространяют вредоносное ПО SnailResin, которое активирует бэкдор SlugResin.
TA455, также известная как UNC1549 и Yellow Dev 13, является подразделением APT35, известной под разными названиями — Charming Kitten, CharmingCypress, ITG18 и другими. Считается, что группа аффилирована с Корпусом стражей исламской революции (КСИР).
С начала 2023 года TA455 нацелилась на аэрокосмическую и оборонную отрасли в странах Ближнего Востока, таких как Израиль, ОАЭ и Турция. Атаки основаны на социальной инженерии с использованием поддельных предложений о работе для внедрения бэкдоров MINIBIKE и MINIBUS. Компания Proofpoint сообщает, что злоумышленники часто используют фальшивые компании для контакта с жертвами.
Как оказалось, TA455 уже использовала подобные уловки в прошлом, представляясь рекрутерами в соцсетях, включая поддельные фотографии, сгенерированные ИИ, и имитируя существующих людей. Об этом подробно рассказала в своём отчёте компания PwC.
ClearSky отмечает, что TA455 использует схожие методы с северокорейской Lazarus Group, включая загрузку DLL-библиотек через поддельные сайты и профили в LinkedIn. Это может указывать либо на попытки запутать расследование, либо на обмен инструментами между группировками.
Злоумышленники применяют многоэтапные атаки с использованием фишинговых писем, замаскированных под рабочие документы, и архивов ZIP с вредоносным кодом. Они также используют GitHub для сокрытия командных серверов, что позволяет маскировать трафик и обходить защиту.
Таким образом, киберпреступники всё изощрённее используют уловки, копируя методы друг друга и размывая границы между атаками разных государств. Это напоминает правило, отличное применимое в том числе для ИБ-сферы: доверяй, но проверяй — особенно если предложение выглядит слишком заманчиво
Разбираем кейсы, делимся опытом, учимся на чужих ошибках