Tin tặc Iran sử dụng mồi nhử "Dream Job" để triển khai mã độc SnailResin

Tác giả Starlink, T.M.Một 16, 2024, 11:42:16 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Nhóm tin tặc người Iran có tên TA455 đã bị phát hiện sử dụng chiêu trò của một nhóm tin tặc Triều Tiên để dàn dựng chiến dịch Dream Job nhắm vào ngành hàng không vũ trụ bằng cách cung cấp việc làm giả kể từ ít nhất tháng 9 năm 2023.

Công ty an ninh mạng ClearSky của Israel cho biết trong một bài phân tích hôm thứ Ba rằng: "Chiến dịch này đã phát tán phần mềm độc hại SnailResin, kích hoạt cửa hậu SlugResin".


TA455, cũng được Mandiant thuộc sở hữu của Google theo dõi với tên UNC1549 và PwC với tên Yellow Dev 13, được đánh giá là một cụm con trong APT35, được biết đến với tên gọi CALANQUE, Charming Kitten, CharmingCypress, ITG18, Mint Sandstorm (trước đây là Phosphorus), Newscaster, TA453 và Yellow Garuda.

Có liên kết với Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC), nhóm này được cho là có chung điểm chung về mặt chiến thuật với các nhóm được gọi là Smoke Sandstorm (trước đây là Bohrium) và Crimson Sandstorm (trước đây là Curium).

Đầu tháng 2 này, nhóm đối địch này được cho là đứng sau một loạt các chiến dịch có mục tiêu rõ ràng nhằm vào các ngành công nghiệp hàng không vũ trụ, hàng không và quốc phòng ở Trung Đông, bao gồm Israel, UAE, Thổ Nhĩ Kỳ, Ấn Độ và Albania.

Các cuộc tấn công liên quan đến việc sử dụng các chiến thuật kỹ thuật xã hội sử dụng các mồi nhử liên quan đến công việc để cung cấp hai cửa hậu có tên là MINIBIKE và MINIBUS. Công ty bảo mật doanh nghiệp Proofpoint cho biết họ cũng đã quan sát thấy "TA455 sử dụng các công ty bình phong để tương tác chuyên nghiệp với các mục tiêu quan tâm thông qua trang Liên hệ với chúng tôi hoặc yêu cầu bán hàng".

Tuy nhiên, đây không phải là lần đầu tiên tác nhân đe dọa này tận dụng mồi nhử theo chủ đề công việc trong các chiến dịch tấn công của mình. Trong báo cáo "Cyber Threats 2022: A Year in Retrospect", PwC cho biết họ đã phát hiện ra một hoạt động có động cơ gián điệp do TA455 thực hiện, trong đó những kẻ tấn công đóng giả làm người tuyển dụng cho các công ty thực tế hoặc hư cấu trên nhiều nền tảng truyền thông xã hội.


"Yellow Dev 13 đã sử dụng nhiều bức ảnh do trí tuệ nhân tạo (AI) tạo ra để làm nhân vật đại diện và mạo danh ít nhất một cá nhân thực sự cho các hoạt động của mình", công ty lưu ý.

ClearSky cho biết họ đã xác định được một số điểm tương đồng giữa hai chiến dịch Dream Job do Lazarus Group và TA455 thực hiện, bao gồm việc sử dụng mồi nhử việc làm và tải DLL để triển khai phần mềm độc hại.

Điều này làm dấy lên khả năng rằng nhóm tin tặc Triều Tiên cố tình sao chép thủ đoạn của mình để gây nhầm lẫn cho nỗ lực xác định danh tính, hoặc có một số hình thức chia sẻ công cụ.

Chuỗi tấn công sử dụng các trang web tuyển dụng giả mạo ("careers2find[.]com") và hồ sơ LinkedIn để phân phối tệp ZIP, trong đó có tệp thực thi ("SignedConnection.exe") và tệp DLL độc hại ("secur32.dll") được tải phụ khi tệp EXE được chạy.

Theo Microsoft, secur32.dll là trình tải trojan có tên SnailResin, chịu trách nhiệm tải SlugResin, phiên bản cập nhật của cửa hậu BassBreaker cấp quyền truy cập từ xa vào máy tính bị xâm phạm, cho phép kẻ tấn công triển khai thêm phần mềm độc hại, đánh cắp thông tin đăng nhập, leo thang đặc quyền và di chuyển ngang sang các thiết bị khác trên mạng.

Các cuộc tấn công này cũng được đặc trưng bởi việc sử dụng GitHub như một công cụ giải quyết thư chết bằng cách mã hóa máy chủ chỉ huy và kiểm soát thực tế trong một kho lưu trữ, do đó cho phép kẻ tấn công che giấu các hoạt động độc hại của chúng và hòa nhập với lưu lượng truy cập hợp pháp.

ClearSky cho biết: "TA455 sử dụng quy trình lây nhiễm nhiều giai đoạn được thiết kế cẩn thận để tăng cơ hội thành công trong khi giảm thiểu khả năng bị phát hiện".

"Các email lừa đảo ban đầu có thể chứa các tệp đính kèm độc hại được ngụy trang dưới dạng các tài liệu liên quan đến công việc, được ẩn giấu thêm trong các tệp ZIP chứa hỗn hợp các tệp hợp lệ và độc hại. Phương pháp tiếp cận theo lớp này nhằm mục đích vượt qua các lần quét bảo mật và lừa nạn nhân thực thi phần mềm độc hại."