СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25 мая
#ИБ

UNC1549 усиливает шпионаж через фишинг и DLL sideloading

Иранская хакерская группировка Screening Serpens, также известная как UNC1549, продолжает активные операции по кибершпионажу и наращивает техническую сложность атак, нацеленных на организации в США, Израиле, ОАЭ и других странах Ближнего Востока.

Что выяснили исследователи

Исследования Unit 42 указывают на продолжающуюся деятельность Screening Serpens, действующей как минимум с 2022 года. По данным отчета, особенно заметный всплеск активности пришелся на период с февраля по апрель 2026 года и совпал с началом регионального конфликта на Ближнем Востоке.

Эксперты отмечают, что в этот период группировка демонстрировала повышенную операционную устойчивость и использовала более сложные тактики. В арсенале злоумышленников появились шесть новых вариантов Trojan, объединенных в два новых семейства ВПО, идентифицированных как MiniUpdate и MiniJunk V2.

Социальная инженерия под видом найма на работу

Основной вектор атак строится вокруг высокоточной социальной инженерии. Злоумышленники ориентируются на специалистов технологического сектора и нередко маскируют вредоносные кампании под легитимные рекрутинговые инициативы.

Распространение ВПО начинается с тщательно адаптированных фишинговых приманок, после чего жертву переводят к механизмам DLL sideloading, используемым для выполнения вредоносной нагрузки.

  • целевая рассылка с приманками, имитирующими предложения о работе;
  • использование вредоносных файлов, визуально похожих на легитимные материалы;
  • запуск полезной нагрузки через DLL sideloading.

AppDomainManager hijacking как ключевая техника

Одной из наиболее значимых эволюций в тактике группировки Unit 42 называет использование AppDomainManager hijacking. Эта техника позволяет злоумышленникам вмешиваться в процесс инициализации .NET-приложений, отключать механизмы безопасности и добиваться выполнения RAT без обнаружения.

По сути, речь идет о более скрытном и устойчивом способе компрометации, который помогает обходить защитные меры и сохранять контроль над зараженной системой.

Коммуникации C2 через Azure

Отдельного внимания заслуживает инфраструктура командования и управления. Как отмечают исследователи, C2-коммуникации маршрутизируются через уникальные домены, преимущественно размещенные на Azure. Такой подход повышает операционную безопасность атакующих и снижает риск перекрестного заражения.

Использование облачной инфраструктуры усложняет атрибуцию и затрудняет оперативное блокирование вредоносной активности.

MiniUpdate: доставка через рекрутинговые материалы

Вариант MiniUpdate выделяется особенно сложной схемой доставки. По данным отчета, ВПО распространяется через замаскированные рекрутинговые материалы. После извлечения вредоносный файл запускает цепочку DLL sideloading, вводя жертву в заблуждение и заставляя систему выполнять полезную нагрузку под видом легитимного приложения.

Функциональность MiniUpdate также включает:

  • сложный диспетчер команд;
  • возможности произвольного выполнения кода;
  • эксфильтрацию данных;
  • пакетную загрузку для более скрытой передачи информации.

MiniJunk V2: развитие прежних методик

Вариант MiniJunk V2 показывает, что группировка не только сохраняет прежние подходы, но и продолжает совершенствовать методы обхода обнаружения. Этот образец также связан с признаками DLL sideloading и фигурирует в кампаниях против целей на Ближнем Востоке.

Тем самым Screening Serpens демонстрирует не разовую активность, а последовательную эволюцию инструментов и тактик в рамках долгосрочной шпионской кампании.

Вывод: организациям нужно усиливать защиту

Unit 42 приходит к выводу, что Screening Serpens представляет собой стойкого и эволюционирующего противника, чьи недавние действия отражают стратегический фокус на шпионаже против высокоценных секторов. Использование AppDomainManager hijacking, DLL sideloading и облачной инфраструктуры делает атаки особенно опасными и трудными для обнаружения.

Непрерывный мониторинг и усиление защиты, нацеленные на DLL sideloading и связанные аномалии, имеют решающее значение для смягчения последствий таких угроз.

Для организаций это означает необходимость адаптировать меры безопасности к новым моделям компрометации, уделяя особое внимание мониторингу цепочек запуска приложений, аномалиям в .NET-среде и подозрительной активности, связанной с рекрутинговыми кампаниями.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: