یک کمپین پیچیده فیشینگ منتسب به عامل تهدید مرتبط با ایران TA455 مشاهده شد که از تکنیکهای پیچیده برای جعل هویت استخدامکنندگان در لینکدین و سایر پلتفرمها استفاده میکرد.
ClearSky Cyber Security امروز گزارشی را منتشر کرد که روش ها، اه، و زیرساخت های TA455 را تشریح می کند.
این کمپین که حداقل از سپتامبر 2023 فعال است، با رویکرد فیشینگ آغاز می شود که در آن TA455 افراد را با پیشنهادهای شغلی جعلی فریب می دهد. با استفاده از لینکدین برای جلب اعتماد، مهاجمان از قرب،ان می خواهند که یک فایل ZIP با ،وان SignedConnection.zip را دانلود کنند که توسط پنج موتور آنتی ویروس به ،وان م،ب بر،ب گذاری شده است.
این فایل ZIP حاوی یک فایل EXE است که برای بارگذاری ب،زار در سیستم قرب، از طریق بارگذاری جانبی DLL طراحی شده است، جایی که یک DLL م،ب به نام “secur32(.)dll” به جای یک فایل قانونی بارگذاری می شود و به مهاجم اجازه می دهد تا کد شناسایی نشده را در یک فرآیند قابل اطمینان اجرا کند. .
تجزیه و تحلیل فنی ب،زار و فرآیند عفونت
برای افزایش احتمال عفونت، مهاجمان همچنین یک راهنمای گام به گام در قالب PDF در مواد فیشینگ ارائه می دهند. این راهنما به قرب، آموزش میدهد که چگونه فایل فشردهشده را «ایمن» دانلود و باز کند و در مورد اقداماتی که ممکن است از حمله موفقیتآمیز جلوگیری کند، هشدار میدهد.
پس از دسترسی به فایل ZIP و اجرای فایل EXE ممتاز در داخل آن، ب،زار شروع به راه اندازی زنجیره عفونت می کند. این فرآیند ب،زار SnailResin را گسترش میدهد، که سپس یک درب پشتی ثانویه به نام SlugResin را فعال میکند. ClearSky هر دو SnailResin و SlugResin را به زیرمجموعه ای از Charming Kitten، یکی دیگر از بازیگران تهدید کننده ایر، نسبت می دهد.
جزئیات کلیدی کمپین عبارتند از:
-
فایل م،ب: “SignedConnection.zip” به ،وان م،ب شناسایی شده است
-
اه، اولیه: متخصصان هوافضا، تمرکز مکرر کمپین های قبلی TA455
-
دامنه ها: دامنه های اخیراً ایجاد شده و پنهان مانند “careers2find(.)com” برای توزیع استفاده می شود.
این گروه همچنین با رمزگذاری ارتباطات فرمان و کنترل (C2) در GitHub، عملیات خود را پنهان می کند، تاکتیکی که شناسایی تهدید را برای ابزارهای تشخیص سنتی دشوار می کند. یک کانال C2 که در GitHub میزب، می شود، TA455 را قادر می سازد تا داده ها را از سیستم های در معرض خطر با مخلوط ، ترافیک م،ب با فعالیت های قانونی کاربر GitHub بازیابی کند.
درباره حملات فیشینگ بیشتر بخو،د: هکرها از دستور کار اتحادیه اروپا در کمپین های فیشینگ سوء استفاده می کنند
چالش های تکنیک های اسناد و مبهم سازی
برای پیچیدهتر ، انتساب، TA455 تاکتیکها، نامها و امضاهای فایل مرتبط با گروه لازاروس کره شمالی را تقلید میکند. این ب،زار عمدی بازرسان را گمراه می کند و منجر به شناسایی اشتباه مکرر ب،زار TA455 به ،وان ب،زار Kimsuky کره شمالی می شود.
تجزیه و تحلیل بیشتر زیرساخت نشان می دهد که TA455 از چندین آدرس IP استفاده می کند که برخی از پیوندها توسط Cloudflare پنهان شده است و لایه هایی را برای پنهان ، دنباله دیجیتال خود اضافه می کند. این آدرسهای IP به ارائهدهندگان میزب، ایر، متصل میشوند که به ندرت با گروههای ایر، مرتبط هستند، که نشاندهنده تلاش عمدی برای جلوگیری از ردیابی و شناسایی است.
منبع: https://www.infosecurity-magazine.com/news/ta455s-iranian-dream-job-campaign/