СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
3 часа назад
#ИБ#ИИ

Хакеры из Ирана очень интересуются американским авиационным сектором, атакуя сотрудников отрасли

Хакеры из Ирана очень интересуются американским авиационным сектором, атакуя сотрудников отрасли

изображение: recraft

Связанная с Ираном группировка Nimbus Manticore сменила способ атак и впервые применила SEO-отравление против американского авиационного сектора. Злоумышленники подняли в поисковой выдаче поддельный сайт загрузки Oracle SQL Developer, замаскировав его под легитимный корпоративный софт. Check Point Research связывает кампанию с операцией «Эпическая ярость» и фиксирует новый бэкдор MiniFast.

Активность группы пришлась на февраль-апрель 2026 года. Старт совпал с операцией «Эпическая ярость» от 28 февраля, которая началась после нового витка напряжённости между США и Ираном. Саму группировку отслеживают ещё под обозначением UNC1549, и за ней давно тянется след атак на оборонные, авиационные и телеком-компании.

Прежде их операции строились вокруг фальшивых вакансий и поддельных собеседований. Жертве предлагали работу мечты, проводили фейковое интервью и под этим предлогом подсовывали вредоносный файл. В апреле механика поменялась. Вместо вакансий атакующие собрали клон страницы загрузки Oracle SQL Developer и принялись агрессивно раскручивать его через поисковики.

Для продвижения фейка хакеры действовали так:

  • зарегистрировали десятки доменов под одну кампанию
  • набили страницы поисковыми ключами, привязанными к продуктам Oracle
  • добились роста позиций в выдаче Bing и DuckDuckGo по запросам про SQL Developer
  • сделали визуальную копию, почти неотличимую от оригинала

Стоит обратить внимание, что это первый зафиксированный случай, когда группировка такого уровня поставила SEO-отравление во главу угла доставки вредоноса, а не классический прямой фишинг.

Раньше Nimbus Manticore работала проще. В ранних волнах применялись заражённые инсталляторы Zoom, фейковые приглашения на встречи и ZIP-архивы, которые расходились через OnlyOffice.

Техническая сторона новой кампании выросла в сложности. Аналитики зафиксировали приём под названием AppDomain hijacking. Он позволяет подсунуть вредоносную DLL в доверенное .NET-приложение через подменённый конфигурационный файл, и защита программы фактически отключается ещё до её полноценного запуска.

В ходе разбора инцидентов команда Check Point нашла и новый бэкдор, который назвали MiniFast. Он заменил семейство MiniJunk, активно работавшее у группы до 2025 года.

Что умеет MiniFast:

  • работает как 64-битная DLL под Windows с полным удалённым управлением
  • общается с управляющим сервером через JSON
  • прячет сетевой трафик под обычный браузер Chrome
  • запускает shell-команды и передаёт файлы
  • управляет процессами на заражённой машине
  • закрепляется в системе через запланированные задачи

Отдельная деталь, на которой остановились исследователи, — следы применения искусственного интеллекта при сборке вредоноса. На это намекают несколько признаков:

  • избыточная обработка ошибок по всему коду
  • повторяющиеся шаблоны в именовании функций и переменных
  • множество строк, похожих на автоматические отладочные сообщения

Любопытно, что по оценке аналитиков как раз помощь ИИ-инструментов позволила группе держать высокий темп разработки и быстро выпускать новый инструментарий даже под военным давлением на инфраструктуру.

Сама логика SEO-отравления выглядит неприятно. Жертва теперь попадает на заражённый ресурс не через письмо или мессенджер, а просто открыв поиск, чтобы скачать рабочий инструмент. Для инженеров, разработчиков и IT-специалистов риск растёт по понятным причинам:

  • поддельный сайт практически копирует оригинальный по виду
  • запрос делает сам пользователь, без всякого внешнего триггера
  • доверие к поисковой выдаче выше, чем к случайной рассылке
  • такие сотрудники часто имеют широкий доступ к корпоративным сетям

Похожий почерк уже встречался у иранской группы Screening Serpens. Она несколько месяцев атаковала организации в США, Израиле и ОАЭ через фальшивые вакансии и свежие сборки RAT-троянов, тоже задействуя приёмы против .NET-приложений и охотясь за инженерами с широкими правами доступа.

Раньше внимание привлекала и проиранская группа «Исламское киберсопротивление в Ираке 313». Она взяла на себя ответственность за многочасовой сбой Spotify и пообещала удары по другим западным брендам. Технических доказательств причастности тогда не появилось, но шум вокруг подобных операций заметно усилился.

Эксперты редакции CISOCLUB уверены, что переход атакующих в поисковую выдачу меняет правила игры для защиты. Привычные тренинги про подозрительные письма теперь закрывают лишь часть угрозы, а вторая половина приходит оттуда, откуда сотрудник её не ждёт. Загрузку корпоративного софта стоит замкнуть на внутренние репозитории и проверенные ссылки, а не на результаты поиска. Контроль целостности устанавливаемых пакетов и мониторинг запуска .NET-приложений тоже выходят на первый план. Применение ИИ для ускорения разработки вредоносов означает, что новые инструменты будут появляться быстрее, чем раньше. Защитной стороне придётся отвечать тем же темпом и закладывать в модель угроз не только почту, но и весь путь сотрудника к нужной программе.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: