СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
25 мая
#ИБ

Иранские хакеры зашли в сети США, Израиля и ОАЭ через фальшивые вакансии

Иранские хакеры зашли в сети США, Израиля и ОАЭ через фальшивые вакансии

Связанная с Ираном группа Screening Serpens несколько месяцев вела кибершпионаж против организаций в США, Израиле и ОАЭ. Атакующие применяли 6 новых вариантов троянов удалённого доступа и свежий приём против .NET-приложений, который отключает защиту программы ещё до её запуска. По оценке Unit 42 из Palo Alto Networks, активность совпала с резким обострением обстановки на Ближнем Востоке и выглядела как быстрый сбор разведданных через инженеров и корпоративные сети.

Группу отслеживают сразу под несколькими именами — UNC1549, Smoke Sandstorm и Iranian Dream Job. В Unit 42 относят её к продвинутым APT и связывают с иранскими интересами. Изученная исследователями активность пришлась на отрезок с середины февраля по апрель 2026 года.

Под удар попали организации в трёх странах, и ещё 2 цели на Ближнем Востоке аналитики считают вероятными жертвами. Совпадение по времени оказалось показательным:

  • региональный конфликт стартовал 28 февраля 2026 года;
  • тогда же разворачивалась операция «Рычащий лев»;
  • кибератаки шли не в стороне от кризиса, а рядом с ним.

Стоит обратить внимание: для аналитиков синхронность кибератак с военными событиями стала отдельным сигналом. Шпионаж в цифре всё чаще идёт вплотную к боевым действиям, а не по отдельной дорожке.

Шесть новых вариантов троянов исследователи свели в две семейства вредоносного ПО — MiniUpdate и MiniJunk V2. Судя по времени сборки и развёртывания, операторы готовили 2 согласованные волны атак. Минимум один образец был скомпилирован и запущен по заранее прошитым временным инструкциям, то есть сработал в нужный момент без участия человека.

Главная техническая находка кампании — атака через AppDomainManager hijacking. Приём вмешивается в самую раннюю фазу старта .NET-приложения и через обычный конфигурационный файл гасит встроенную защиту программы до того, как она полноценно заработает. Защитникам это неприятно вот почему:

  • атака не выглядит как грубый взлом;
  • вредоносная логика прячется внутри доверенного приложения;
  • сработавший механизм трудно заметить стандартными средствами.

После такого обхода система открыта для полнофункциональных RAT. Эти трояны позволяют закрепиться, выполнять команды, выкачивать данные и расползаться по инфраструктуре. Для технологических компаний риск выше обычного — доступ к машине инженера быстро превращается в доступ к внутренним сервисам, репозиториям кода и документации.

Ставку Screening Serpens делает не только на технику, но и на социальную инженерию. По данным Unit 42, излюбленный почерк группы выглядит так:

  • фальшивые вакансии под известные бренды;
  • поддельные документы о найме;
  • архивы вроде «Hiring Portal», запускающие цепочку заражения;
  • маскировка вредоноса под установщик популярной платформы для видеоконференций.

В кампании против израильской организации зловред пришёл в архиве, замаскированном под установщик известного сервиса видеосвязи. Признаков взлома самой компании, под чей бренд работали атакующие, Unit 42 не нашла — название взяли только как приманку.

Любопытно, что схема с фальшивым трудоустройством превратилась почти в отдельный жанр кибершпионажа. Инженеру предлагают вакансию, шлют документы, зовут на видеособеседование, дают «тестовое задание» — а внутри лежит вредоносный файл.

Разработчики и инженеры в этой схеме уязвимее остальных. Они привыкли каждый день открывать архивы, ставить установщики, гонять тестовые сборки и разбирать технические материалы, поэтому лишний пакет не вызывает у них подозрений.

Активна Screening Serpens минимум с 2022 года. В новых операциях группа показала рост технического уровня и более живучую инфраструктуру:

  • расширилась география целей за пределы Ближнего Востока;
  • выбор объектов стал смелее;
  • инструментарий заметно обновился.

Раньше иранских хакеров уже обвиняли в атаках на авиационные и нефтегазовые компании США, Израиля и ОАЭ. Там тоже работали фальшивые вакансии и заражённое ПО для видеосвязи, а главной мишенью называли программистов с широким доступом к корпоративным сетям. Новые данные Unit 42 продолжают ту же линию и показывают, что поддельный рекрутинг остаётся рабочим инструментом таких операций.

Также ранее проиранская группа «Исламское киберсопротивление в Ираке 313» взяла на себя ответственность за 5-часовой сбой Spotify 12 мая 2026 года. Хакеры заявляли о DDoS-атаке и грозили новыми ударами по западным брендам. Spotify подтверждал проблемы с приложением, веб-плеером и страницей поддержки, но публично инцидент ни с какой группой не связывал.

Эксперты редакции CISOCLUB уверены, что фальшивый рекрутинг останется одним из самых эффективных каналов проникновения, пока инженеры и разработчики не начнут относиться к «вакансиям» с той же осторожностью, что и к подозрительным письмам.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: