Nov 13, 2024Ravie LakshmananCyber ​​Espionage / Malware Muigizaji tishio wa Iran anayejulikana kama TA455 ameonekana akichukua karatasi kutoka kwenye kitabu cha kucheza cha kikundi cha wadukuzi cha Korea Kaskazini ili kuandaa toleo lake la kampeni ya Dream Job inayolenga sekta ya anga kwa kutoa kazi bandia. tangu angalau Septemba 2023. “Kampeni ilisambaza SnailResin programu hasidi, ambayo inawasha mlango wa nyuma wa SlugResin,” kampuni ya usalama ya mtandao ya Israel ClearSky ilisema katika uchanganuzi wa Jumanne. TA455, inayofuatiliwa pia na Mandiant inayomilikiwa na Google kama UNC1549 na Yellow Dev 13, inakadiriwa kuwa kikundi kidogo ndani ya APT35, kinachojulikana kwa majina CALANQUE, Charming Kitten, CharmingCypress, ITG18, Mint Sandstorm (zamani Fosphorus), Newscaster. , TA453, na Garuda ya Njano. Kwa kushirikiana na Jeshi la Walinzi wa Mapinduzi ya Kiislamu ya Iran (IRGC), kundi hilo linasemekana kushiriki mwingiliano wa kimbinu na makundi yanayojulikana kama Smoke Sandstorm (hapo awali Bohrium) na Crimson Sandstorm (hapo awali Curium). Mapema Februari hii, kundi la wapinzani lilihusishwa kuwa nyuma ya mfululizo wa kampeni zilizolengwa sana zinazolenga sekta ya anga, anga, na ulinzi katika Mashariki ya Kati, ikiwa ni pamoja na Israel, UAE, Uturuki, India na Albania. Mashambulizi hayo yanahusisha utumiaji wa mbinu za uhandisi wa kijamii zinazotumia nyasi zinazohusiana na kazi ili kutoa milango miwili ya nyuma inayoitwa MINIBIKE na MINIBUS. Kampuni ya usalama ya Enterprise Proofpoint ilisema pia imeona “TA455 hutumia makampuni ya mbele kujihusisha kitaaluma na malengo ya maslahi kupitia ukurasa wa Wasiliana Nasi au ombi la mauzo.” Hayo yamesemwa, hii si mara ya kwanza kwa mwigizaji huyo tishio kutumia udanganyifu wa mada za kazi katika kampeni zake za kushambulia. Katika ripoti yake ya “Cyber ​​Threats 2022: A Year in Retrospect”, PwC ilisema iligundua shughuli iliyochochewa na ujasusi iliyofanywa na TA455, ambapo washambuliaji walijifanya kuwa waajiri wa makampuni halisi au ya uwongo kwenye majukwaa mbalimbali ya mitandao ya kijamii. “Njano Dev 13 ilitumia aina mbalimbali za picha za kijasusi bandia (AI) zilizotengenezwa kwa watu wake na kuiga angalau mtu mmoja halisi kwa shughuli zake,” kampuni hiyo ilibainisha. ClearSky ilisema ilitambua mambo mengi yanayofanana kati ya kampeni mbili za Dream Job zilizofanywa na Lazarus Group na TA455, ikiwa ni pamoja na utumiaji wa viambatisho vya fursa za kazi na upakiaji kando wa DLL ili kupeleka programu hasidi. Hili limezua uwezekano kwamba kikundi hicho cha pili kinanakili kimakusudi hila ya biashara ya kundi la wadukuzi la Korea Kaskazini ili kuchanganya juhudi za uwasilishaji, au kwamba kuna aina fulani ya kugawana zana. Misururu ya mashambulizi hutumia tovuti ghushi za kuajiri (“careers2find[.]com”) na wasifu wa LinkedIn ili kusambaza kumbukumbu ya ZIP, ambayo, miongoni mwa faili zingine, ina faili inayoweza kutekelezwa (“SignedConnection.exe”) na faili hasidi ya DLL (“secur32.dll”) ambayo huwekwa kando wakati faili ya EXE inaendeshwa. Kulingana na kwa Microsoft, secur32.dll ni kipakiaji cha trojan kinachoitwa SnailResin ambacho kinawajibika kupakia SlugResin, toleo lililosasishwa la BassBreaker backdoor ambayo hutoa ufikiaji wa mbali kwa mashine iliyoathiriwa, ikiruhusu watendaji tishio kupeleka programu hasidi zaidi, kuiba vitambulisho, kuongeza haki, na kuhamia kando kwa vifaa vingine kwenye mtandao dondosha kisuluhishi kwa kusimba seva halisi ya amri na udhibiti ndani ya hazina, na hivyo kuwezesha adui kuficha yao. Operesheni hasidi na kuchanganyika na trafiki halali “TA455 hutumia mchakato wa kuambukizwa wa hatua nyingi ulioundwa kwa uangalifu ili kuongeza nafasi zao za kufaulu huku ikipunguza ugunduzi,” ClearSky ilisema “Barua pepe za wizi wa mkuki zinaweza kuwa na viambatisho hasidi vilivyofichwa kama vinavyohusiana na kazi hati, ambazo zimefichwa zaidi ndani ya faili za ZIP zilizo na mchanganyiko wa faili halali na hasidi. Mbinu hii iliyopangwa inalenga kukwepa ukaguzi wa usalama na kuwalaghai waathiriwa watekeleze programu hasidi.” Je, umepata makala haya ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee zaidi tunayochapisha.