Nimbus Manticore: SEO-отравление и новый бэкдор MiniFast

Nimbus Manticore, группировка, связанная с Корпусом стражей исламской революции (IRGC), вновь оказалась в центре внимания на фоне роста геополитической напряженности, в том числе во время военной операции США Epic Fury, направленной против Ирана. По данным отчета, злоумышленник заметно расширил свои возможности и начал использовать более сложные схемы доставки ВПО, включая вредоносные приманки, маскирующиеся под авторитетные организации в авиационной и software-сферах.

Ключевым нововведением кампании стало использование SEO poisoning как метода распространения вредоносного ПО. Это первый зафиксированный случай, когда Nimbus Manticore попыталась повысить видимость поддельных ресурсов в поисковых системах, чтобы заманить жертв на вредоносные загрузки.

Новый бэкдор MiniFast

Особое внимание исследователей привлек ранее не документированный бэкдор MiniFast. Он, по всей видимости, создан с применением практик разработки с поддержкой искусственного интеллекта, что указывает на эволюцию инструментария группы и стремление использовать современные подходы к созданию ВПО.

По оценке авторов отчета, такая адаптивность позволяет Nimbus Manticore быстрее разрабатывать и обновлять вредоносные компоненты в ответ на изменения оперативной обстановки.

Как строилась цепочка заражения

В рамках кампании злоумышленники провели фишинговую операцию с использованием троянизированных установщиков, в том числе модифицированного установщика Zoom. Сама тактика была построена на злоупотреблении стандартным процессом установки легитимного приложения, что позволяло создавать бесшовную, но при этом опасную цепочку заражения.

Отдельно в отчете отмечается использование метода AppDomain hijacking. Он дает злоумышленникам возможность загружать вредоносный код через легитимные приложения. Размещая вредоносные конфигурационные файлы рядом с безобидным программным обеспечением, атакующие запускали ВПО без немедленного подозрения со стороны пользователя или защитных средств.

Цепочка заражения выглядела следующим образом:

• Setup.exe — легитимный исполняемый файл с подписью Microsoft;
• в ходе AppDomain hijacking он запускал загрузчик первого этапа InitInstall.dll;
• затем активировался второй этап — Updater.dll;
• финальной нагрузкой становился бэкдор MiniFast.

Что умеет MiniFast

MiniFast представляет собой 64-битную Windows PE DLL, разработанную как комплексный бэкдор для длительного закрепления и выполнения команд. Он использует API-based architecture для взаимодействия с инфраструктурой управления и контроля (C2), обмениваясь командами и ответами в формате JSON.

Чтобы затруднить обнаружение, бэкдор старается сливаться с легитимным сетевым трафиком: в частности, он имитирует строку User-Agent браузера Chrome.

Стратегическая цель и устойчивость операции

Авторы отчета подчеркивают, что Nimbus Manticore продемонстрировала высокую устойчивость и адаптивность: группировка сохраняла инфраструктуру и продолжала разрабатывать новое программное обеспечение, несмотря на возникавшие трудности.

Фокус на критически важных секторах, прежде всего на авиационной и оборонной отраслях, согласуется с более широкими разведывательными задачами IRGC. Это указывает на стратегический замысел, стоящий за кибероперациями группировки.

По мере развития конфликта на Ближнем Востоке Nimbus Manticore остается значимой угрозой благодаря сложным методам работы и способности быстро внедрять передовые кибертактики. В отчете это рассматривается как наглядный пример опасного пересечения геополитического конфликта и кибервойны.