کمپین «شغل رویایی ایرانی» TA455، هوافضا را با بدافزار هدف قرار می دهد

کمپین «شغل رویایی ایرانی» TA455، هوافضا را با بدافزار هدف قرار می دهد

یک کمپین پیچیده فیشینگ منتسب به عامل تهدید مرتبط با ایران TA455 مشاهده شد که از تکنیک‌های پیچیده برای جعل هویت استخدام‌کنندگان در لینکدین و سایر پلتفرم‌ها استفاده می‌کرد.

ClearSky Cyber ​​Security امروز گزارشی را منتشر کرد که روش ها، اه، و زیرساخت های TA455 را تشریح می کند.

این کمپین که حداقل از سپتامبر 2023 فعال است، با رویکرد فیشینگ آغاز می شود که در آن TA455 افراد را با پیشنهادهای شغلی جعلی فریب می دهد. با استفاده از لینکدین برای جلب اعتماد، مهاجمان از قرب،ان می خواهند که یک فایل ZIP با ،وان SignedConnection.zip را دانلود کنند که توسط پنج موتور آنتی ویروس به ،وان م،ب بر،ب گذاری شده است.

این فایل ZIP حاوی یک فایل EXE است که برای بارگذاری ب،زار در سیستم قرب، از طریق بارگذاری جانبی DLL طراحی شده است، جایی که یک DLL م،ب به نام “secur32(.)dll” به جای یک فایل قانونی بارگذاری می شود و به مهاجم اجازه می دهد تا کد شناسایی نشده را در یک فرآیند قابل اطمینان اجرا کند. .

تجزیه و تحلیل فنی ب،زار و فرآیند عفونت

برای افزایش احتمال عفونت، مهاجمان همچنین یک راهنمای گام به گام در قالب PDF در مواد فیشینگ ارائه می دهند. این راهنما به قرب، آموزش می‌دهد که چگونه فایل فشرده‌شده را «ایمن» دانلود و باز کند و در مورد اقداماتی که ممکن است از حمله موفقیت‌آمیز جلوگیری کند، هشدار می‌دهد.

پس از دسترسی به فایل ZIP و اجرای فایل EXE ممتاز در داخل آن، ب،زار شروع به راه اندازی زنجیره عفونت می کند. این فرآیند ب،زار SnailResin را گسترش می‌دهد، که سپس یک درب پشتی ثانویه به نام SlugResin را فعال می‌کند. ClearSky هر دو SnailResin و SlugResin را به زیرمجموعه ای از Charming Kitten، یکی دیگر از بازیگران تهدید کننده ایر، نسبت می دهد.

جزئیات کلیدی کمپین عبارتند از:

  • فایل م،ب: “SignedConnection.zip” به ،وان م،ب شناسایی شده است

  • اه، اولیه: متخصصان هوافضا، تمرکز مکرر کمپین های قبلی TA455

  • دامنه ها: دامنه های اخیراً ایجاد شده و پنهان مانند “careers2find(.)com” برای توزیع استفاده می شود.

این گروه همچنین با رمزگذاری ارتباطات فرمان و کنترل (C2) در GitHub، عملیات خود را پنهان می کند، تاکتیکی که شناسایی تهدید را برای ابزارهای تشخیص سنتی دشوار می کند. یک کانال C2 که در GitHub میزب، می شود، TA455 را قادر می سازد تا داده ها را از سیستم های در معرض خطر با مخلوط ، ترافیک م،ب با فعالیت های قانونی کاربر GitHub بازیابی کند.

درباره حملات فیشینگ بیشتر بخو،د: هکرها از دستور کار اتحادیه اروپا در کمپین های فیشینگ سوء استفاده می کنند

چالش های تکنیک های اسناد و مبهم سازی

برای پیچیده‌تر ، انتساب، TA455 تاکتیک‌ها، نام‌ها و امضاهای فایل مرتبط با گروه لازاروس کره شمالی را تقلید می‌کند. این ب،زار عمدی بازرسان را گمراه می کند و منجر به شناسایی اشتباه مکرر ب،زار TA455 به ،وان ب،زار Kimsuky کره شمالی می شود.

تجزیه و تحلیل بیشتر زیرساخت نشان می دهد که TA455 از چندین آدرس IP استفاده می کند که برخی از پیوندها توسط Cloudflare پنهان شده است و لایه هایی را برای پنهان ، دنباله دیجیتال خود اضافه می کند. این آدرس‌های IP به ارائه‌دهندگان میزب، ایر، متصل می‌شوند که به ندرت با گروه‌های ایر، مرتبط هستند، که نشان‌دهنده تلاش عمدی برای جلوگیری از ردیابی و شناسایی است.

منبع: https://www.infosecurity-magazine.com/news/ta455s-iranian-dream-job-campaign/