Иранские хакеры усиливают кибератаки на страны Европы

Иранские хакеры усиливают кибератаки на страны Европы

Изображение: Yuedongzi CHAI (unsplash)

Хакерская группировка Nimbus Manticore, связанная с Корпусом стражей исламской революции, расширяет кибершпионскую деятельность в Западной Европе. По данным специалистов Check Point Research, последние атаки были зафиксированы в Дании, Швеции и Португалии. Наибольшему риску подвергаются аэрокосмические и телекоммуникационные компании, а также оборонные подрядчики.

Группа действует под прикрытием: злоумышленники представляются рекрутерами известных компаний, предлагая жертвам пройти «собеседование» или подать заявку через поддельные карьерные порталы.

Каждому пользователю создаётся индивидуальная учётная запись, что позволяет хакерам отслеживать действия и ограничивать доступ для посторонних. Такая схема используется для доставки вредоносных архивов, с которых начинается цепочка заражения.

По информации исследователей, во вредоносной нагрузке используется внедрение библиотек DLL в легитимные исполняемые файлы Windows, включая компоненты Microsoft Defender. Это позволяет атакующим обходить средства обнаружения и сохранять присутствие в системе в течение длительного времени.

Главный инструмент группировки — это многоуровневая платформа удалённого доступа, известная как «Minibike», впервые замеченная в 2022 году.

С тех пор она развилась в новые формы — «MiniJunk» и «MiniBrowse». Эти версии позволяют скрыто извлекать файлы, получать пароли из браузеров и выполнять команды на заражённых машинах, используя продвинутые методы маскировки.

Nimbus Manticore активно использует легальные облачные сервисы, в том числе домены в Azure App Service, защищённые через Cloudflare. Это позволяет группе сохранять работоспособность своей инфраструктуры даже при попытках блокировки. Быстрая смена серверов управления делает такую схему устойчивой к деактивации.

Аналитики говорят, что цели кампании соответствуют приоритетам прошлых операций группировки против Израиля и стран Персидского залива. Сейчас фокус явно сместился в сторону европейских компаний, особенно тех, кто работает в чувствительных технологических секторах. Атаки продолжаются даже на фоне вооружённых столкновений, как это было в период 12-дневного конфликта между Израилем и Ираном летом 2025 года.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: