СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
06.03.2025
#ИБ#Инфра#Облака

Новая угроза: целевая рассылка UNK_CraftyCamel атакует авиационный сектор

Новая угроза: целевая рассылка UNKCraftyCamel атакует авиационный сектор

Исследователи из Proofpoint выявили новую целевую кампанию по электронной почте, получившую название UNK_CraftyCamel. Данная кампания, направленная на ограниченное число клиентов в Объединенных Арабских Эмиратах, затрагивает важные сектора, такие как авиация, спутниковая связь и транспортная инфраструктура. Специалисты отметили, что в кампании использовалась взломанная учетная запись индийской компании INDIC Electronics для распространения вредоносных электронных писем.

Методы атаки

Вредоносные письма содержали ссылки на поддельный домен, имитирующий сайт INDIC Electronics, что в итоге приводило к загрузке ZIP-файла, содержащего программу polyglot. Эта программа была предназначена для установки бэкдора под названием Sosano, который славится своими сложными методами скрытия.

Об сложностях обнаружения

Использование многоязычных файлов в данной атаке существенно усложняет их анализ и избегает обнаружения полезной нагрузки. Особенности работы Sosano включают:

  • Сложная лазейка с кодовой нагрузкой в 12 мегабайт.
  • Ограниченный спектр вредоносных функций для сокрытия своих действий.
  • Использование ненужных библиотек Golang для запутывания анализа.

Вредоносное ПО также имеет режим сна, настраиваемый случайным образом, что позволяет ему обходить автоматизированные меры безопасности, а затем подключается к серверу управления (C2) bokhoreshonline.com для ожидания дальнейших инструкций.

Инфраструктура и связи с группировками

Инфраструктура вредоносного ПО использует IP-адреса, ассоциированные с хостинг-провайдером CrownCloud, указывая на хорошо организованную систему, стремящуюся оставаться незамеченной. Сходство действий злоумышленников с группировками, связанными с Корпусом стражей исламской революции (КСИР), а также с TA451 и TA455, подчеркивает серьезность угроза.

Рекомендации для организаций

Несмотря на эту параллель, UNK_CraftyCamel рассматривается как отдельный кластер угроз. Кампания демонстрирует, что продвинутые злоумышленники используют доверие третьих лиц для распространения специализированного вредоносного ПО.

В связи с этим, организациям рекомендуется:

  • Повышать осведомленность пользователей о потенциальных угрозах.
  • Проявлять бдительность к вводящему в заблуждение контенту от зарегистрированных контактов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: