СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 июня
#ИБ

Nimbus Manticore атакует через LinkedIn и поддельный найм

Связанная с Ираном хакерская группировка Nimbus Manticore, также известная как UNC1549 и Smoke Sandstorm, продолжает развивать свои операции против аэрокосмической и оборонной отраслей на Ближнем Востоке и в Европе. Новый отчет показывает, что злоумышленники делают ставку на тщательно выстроенную социальную инженерию, многоступенчатый phishing и скрытное распространение вредоносного ПО, замаскированного под legitimate software.

Фальшивый recruiting и LinkedIn как точка входа

По данным отчета, одна из ключевых тактик группы — имперсонация легитимного рекрутера в LinkedIn. Жертв вовлекают в поддельные recruitment-процессы, где им отправляют убедительно оформленные PDF-файлы и перенаправляют на портал найма, внешне неотличимый от настоящего.

Именно на этом этапе начинается доставка payload, который маскируется под приложение двухфакторной аутентификации. Такой подход позволяет злоумышленникам выглядеть максимально правдоподобно и снижает настороженность цели.

Схема заражения: sideloading и DLL hijacking

Вредоносный код распространяется в ZIP-архиве, содержащем переименованный компонент Microsoft Visual Studiosetup.exe. После запуска он использует модифицированный configuration file для загрузки контролируемой злоумышленником сборки TOTPGuard.dll.

Цепочка заражения построена на sideloading и опирается на техники DLL hijacking и AppDomain hijacking. Такая архитектура нужна для того, чтобы вредоносная активность выглядела как нормальное поведение подписанного Microsoft приложения и не вызывала подозрений у защитных систем.

Подписанный Microsoft компонент и «естественное» поведение приложения помогают вредоносной нагрузке растворяться в легитимном трафике и обходить детектирование.

Рост обфускации и усложнение анализа

Отдельное внимание в отчете уделено тому, что Nimbus Manticore усиливает obfuscation в своих инструментах. Проанализированный модуль содержал сложные методы скрытия логики, включая opaque predicates и динамические вычисления переходов, что заметно затрудняет static analysis и reverse engineering.

Хотя базовая функциональность предыдущих внедрений остается во многом прежней, совершенствование обфускации указывает на адаптацию операторов к современным методам обнаружения. Иными словами, группа не меняет фундаментальную модель атак, но заметно повышает устойчивость своих инструментов к анализу.

C2-инфраструктура на Azure

Инфраструктура command-and-control (C2) в этой кампании преимущественно использует domains, размещенные в Azure. Такой выбор дает злоумышленникам несколько преимуществ:

  • доверенная репутация cloud-инфраструктуры;
  • меньшая вероятность немедленного срабатывания систем предупреждения;
  • лучшее «смешивание» с обычным трафиком организаций, активно использующих Azure.

Авторы отчета предлагают учитывать age of domain как один из индикаторов компрометации. Дополнительно рекомендуется вводить более строгие ограничения на доступ к новым domain, особенно в чувствительных бизнес-подразделениях.

Что рекомендуется организациям

Для противодействия тактикам Nimbus Manticore экспертами предлагается комплексный набор мер, сочетающий обучение сотрудников и технический контроль. В частности, организациям рекомендуется:

  • внедрить программы security awareness, охватывающие не только email phishing, но и атаки через LinkedIn и другие платформы;
  • обучать сотрудников распознаванию social engineering в recruitment-сценариях;
  • отслеживать подозрительное sideloading и нетипичные configuration patterns;
  • усиливать контроль за использованием новых domain и cloud-инфраструктуры;
  • анализировать аномалии, связанные с запуском подписанных приложений и загрузкой нестандартных DLL.

Вывод

Хотя фундаментальное поведение Nimbus Manticore остается стабильным, операционная сложность ее кампаний продолжает расти. Группировка сочетает убедительную social engineering, скрытные методы заражения и развитую obfuscation, создавая серьезные вызовы для киберзащиты в аэрокосмическом и оборонном секторах.

В условиях, когда злоумышленники все чаще используют доверенные платформы, подписанные приложения и cloud-инфраструктуру с хорошей репутацией, организациям приходится делать ставку не только на технические средства защиты, но и на постоянное обучение персонала и раннее выявление нетипичного поведения в сети.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: