Irańscy hakerzy uderzają w europejskie firmy obronne. Podszywają się pod rekrutetów

Nimbus Manticore prowadzi długotrwałą kampanię wykorzystując spersonalizowany spearphishing. Irańscy cyberprzestępcy podają się za rekruterów i kierują zainteresowanych na fałszywe strony rekrutacyjne. Jak podkreśla hackread.com, oszuści celują w duże europejskie firmy.

Badanie przeprowadzone przez Check Point Research wykazało, że irańska grupa podszywa się pod firmy z branży lotnictwa, kosmonautyki, przemysłu obronnego i telekomunikacji.

Irańska kampania zagrożeniem dla kandydatów i firm

Grupa APT Nimbus Manticore, powiązana z Iranem, jest znana również jako UNC1549 lub Smoke Sandstorm.  Jak wskazuje CPR (Check Point Research), grupa już wcześniej wykazywała powiązanie z działaniami o podobnym charakterze, a część z nich była określana jako irańska kampania Dream Job.

Jednym z przykładowych ataków, jakie w badaniu wykazał CPR, był atak na dostawcę usług telekomunikacyjnych w Izraelu. Cyberprzestępcy często kontaktowali się przez media społecznościowe, w tym LinkedIn, i podszywali się pod pracownika działu HR. Następnie prosili o zmianę formy komunikacji i przejście na pocztę e-mail.

Wiadomość mailowa zawierała link do fałszywej strony rekrutacyjnej, która była przygotowana w taki sposób, aby nie wzbudzała najmniejszych wątpliwości. W mailu zawierano również dane do logowania, w tym login i hasło. Urządzenie użytkownika było infekowane przez złośliwe oprogramowanie po zalogowaniu na fałszywą stronę.

Nazwy domen były związane z „karierą” i rejestrowane przy użyciu Cloudflare. Jak wskazuje CPR, stosowano ten zabieg, aby najprawdopodobniej zachować poufność adresu IP serwera.

„Po wprowadzeniu danych uwierzytelniających i kliknięciu przycisku logowania, do interfejsu  /login-user API wysyłane jest żądanie POST. Jeśli dane uwierzytelniające są nieprawidłowe, zwracana zostaje odpowiedź 401 Unauthorized. W przeciwnym razie użytkownik pobiera złośliwe archiwum ze złośliwym oprogramowaniem” – czytamy w raporcie Check Point Research.

Pobrany plik w formie ZIP instaluje i uruchamia złośliwe oprogramowanie, aby atakujący mógł przejąć kontrolę nad systemem.

Ulepszone oprogramowanie zmniejsza szanse na wykrycie

Jak zauważa Hackread, w pobranym pliku atakujący umieszczają ulepszoną wersję oprogramowania MiniBike, która zmniejsza prawdopodobieństwo wykrycia. Ponadto narzędzie MiniBrowse służy do kradzieży danych, również w sposób, który pozwala ominąć mechanizmy detekcji.

Należy podkreślić, że wszelkie próby kontaktu od nieznanych nam osób, szczególnie na LinkedIn, należy traktować z rezerwą. W takich sytuacjach nie można pozwolić, aby emocje kierowały naszymi działaniami, szczególnie jeśli chodzi o bezpieczeństwo naszych danych i urządzeń.