Хакеры атакуют аэрокосмическую отрасль с помощью поддельных предложений о работе и скрытого вредоносного ПО

Недавняя киберкампания, известная как кампания «Иранская мечта о работе», нацелена на сотрудников в сфере аэрокосмической промышленности, авиации и обороны, обещая им привлекательные предложения по работе.

Компания по кибербезопасности ClearSky раскрыла, что эту кампанию осуществляет группа, связанная с иранской хакерской организацией, известной как «Обаятельный котёнок» (также известной как APT35).

Цель кампании — проникнуть в целевые компании и украсть конфиденциальную информацию, обманом заставив людей загрузить вредоносное программное обеспечение, маскирующееся под материалы, связанные с работой.

ClearSky сообщает, что мошенничество под названием «Мечтаемая работа» включает в себя поддельные профили рекрутеров на LinkedIn, которые часто используют фиктивные компании, чтобы заманить жертв в загрузку вредоносного ПО. Вредоносное программное обеспечение, называемое SnailResin, заражает компьютер жертвы, позволяя хакерам собирать конфиденциальные данные и отслеживать активность в сети.

ClearSky отмечает, что эти хакеры усовершенствовали свои методы, такие как использование легитимных облачных сервисов, таких как Cloudflare и GitHub, для скрытия злонамеренных ссылок, что затрудняет их обнаружение.

Интересно, что иранские хакеры приняли тактику из Северной Кореи, разработанную группой Lazarus, которая впервые использовала схему «Мечтаемой работы» в 2020 году. Имитируя подход Lazarus, иранские хакеры вводят в заблуждение следователей, затрудняя обратную прослеживаемость атак к ним.

ClearSky объясняет, что атака использует метод, называемый загрузкой DLL «на стороне», который позволяет вредоносному программному обеспечению проникнуть в компьютер, выдавая себя за законный файл программного обеспечения. Этот прием, вместе с использованием зашифрованных файлов и сложного кодирования, помогает хакерам обойти обычные меры безопасности.

По словам ClearSky, вредоносное программное обеспечение успешно уклоняется от многих антивирусных программ, и только некоторые средства безопасности могут его определить. С сентября 2023 года иранская кампания «Dream Job» адаптировалась и эволюционировала, регулярно обновляя свои тактики и вредоносное программное обеспечение, чтобы всегда быть на шаг впереди от защиты кибербезопасности, говорит ClearSky.

Ведущие компании в области кибербезопасности, включая Mandiant, обнаружили активность этой угрозы в разных странах, особенно в странах Ближнего Востока, отмечает ClearSky. Они подчеркивают упорство и изощренность этой кампании, отмечая, что структура кампании постоянно меняется, что делает ее постоянной угрозой для целевых отраслей.

ClearSky предупреждает, что организации в таких секторах, как аэрокосмическая промышленность, оборона и других отраслях с высокими ставками, должны быть бдительны и принимать проактивные меры для борьбы с подобным типом атак.

Обучая своих сотрудников рискам, связанным с фишингом и поддельными предложениями о работе, а также реализуя надежные протоколы безопасности, компании могут помочь уменьшить уязвимость к этим крайне обманным киберугрозам.