O ator de ameaças iraniano conhecido como TA455 foi observado adotando estratégias de um grupo de hackers norte-coreano para orquestrar sua própria versão da campanha Dream Job, visando a indústria aeroespacial ao oferecer empregos falsos desde pelo menos setembro de 2023.
“A campanha distribuiu o malware SnailResin, que ativa o backdoor SlugResin,” afirmou a empresa israelense de cibersegurança ClearSky em uma análise de terça-feira.
TA455, também monitorado pela Mandiant, empresa do Google, como UNC1549 e Yellow Dev 13, é avaliado como um subgrupo dentro do APT35, que é conhecido pelos nomes CALANQUE, Charming Kitten, CharmingCypress, ITG18, Mint Sandstorm (anteriormente Phosphorus), Newscaster, TA453 e Yellow Garuda.
Afiliado ao Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), o grupo é dito ter sobreposições táticas com clusters referidos como Smoke Sandstorm (anteriormente Bohrium) e Crimson Sandstorm (anteriormente Curium).
No início de fevereiro deste ano, o coletivo adversário foi atribuído como responsável por uma série de campanhas altamente direcionadas visando indústrias de aeroespacial, aviação e defesa no Oriente Médio, incluindo Israel, Emirados Árabes Unidos, Turquia, Índia e Albânia.
Os ataques envolvem o uso de táticas de engenharia social que empregam iscas relacionadas a empregos para entregar dois backdoors chamados MINIBIKE e MINIBUS.
A empresa de segurança empresarial Proofpoint disse que também observou o “uso de empresas de fachada pelo TA455 para engajar profissionalmente com alvos de interesse via uma página de Contato ou um pedido de venda.”
Dito isso, esta não é a primeira vez que o ator de ameaças utiliza iscas temáticas de emprego em suas campanhas de ataque.
No seu relatório “Ameaças Cibernéticas 2022: Um Retrospecto do Ano”, a PwC disse ter detectado uma atividade motivada por espionagem realizada pelo TA455, onde os atacantes se passavam por recrutadores de empresas reais ou fictícias em diversas plataformas de redes sociais.
“O Yellow Dev 13 usou uma variedade de fotografias geradas por inteligência artificial (AI) para suas personas e se passou por pelo menos uma pessoa real em suas operações”, notou a empresa.
A ClearSky identificou várias semelhanças entre as duas campanhas Dream Job conduzidas pelo Grupo Lazarus e pelo TA455, incluindo o uso de iscas de oportunidade de emprego e DLL side-loading para distribuir malware.
Isso levantou a possibilidade de que o último esteja deliberadamente copiando o modus operandi do grupo de hackers norte-coreano para confundir os esforços de atribuição, ou que haja algum tipo de compartilhamento de ferramentas.
As cadeias de ataque fazem uso de sites falsos de recrutamento (“careers2find[.]com”) e perfis no LinkedIn para distribuir um arquivo ZIP, que, entre outros arquivos, contém um executável (“SignedConnection.exe”) e um arquivo DLL malicioso (“secur32.dll”) que é carregado lateralmente quando o arquivo EXE é executado.
De acordo com a Microsoft, secur32.dll é um trojan loader chamado SnailResin que é responsável por carregar o SlugResin, uma versão atualizada do backdoor BassBreaker que concede acesso remoto a uma máquina comprometida, permitindo efetivamente que os atores de ameaças implantem malware adicional, roubem credenciais, escalem privilégios e se movam lateralmente para outros dispositivos na rede.
Os ataques também são caracterizados pelo uso do GitHub como um dead drop resolver ao codificar o servidor de comando e controle real dentro de um repositório, permitindo assim ao adversário obscurecer suas operações maliciosas e se misturar ao tráfego legítimo.
“O TA455 usa um processo de infecção multi-estágio cuidadosamente projetado para aumentar suas chances de sucesso enquanto minimiza a detecção,” disse a ClearSky.
Os primeiros e-mails de spear-phishing provavelmente contêm anexos maliciosos disfarçados de documentos relacionados a empregos, que são ainda mais ocultados dentro de arquivos ZIP contendo uma mistura de arquivos legítimos e maliciosos.
Essa abordagem de camadas visa contornar análises de segurança e induzir vítimas a executar o malware.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...