کمپین "شغل رؤیایی ایرانی" که توسط تیم تحقیقاتی امنیت سایبری ClearSky شناسایی شده، یک کمپین هدفمند توسط گروه تهدیدی TA455 است که صنعت هوافضا را با ارائه پیشنهادات شغلی جعلی هدف قرار میدهد.
در این کمپین، بدافزاری به نام SnailResin توزیع میشود که منجر به فعال شدن درب پشتی SlugResin میشود. ClearSky این بدافزارها را به زیرگروهی از گروه Charming Kitten نسبت داده است. با این حال، برخی از شرکتهای تحقیقاتی سایبری، فایلهای بدافزار را به گروه Kimsuky/Lazarus از کره شمالی نسبت دادهاند.
شباهتهای میان تکنیکهای حمله، فایلهای بدافزار و روش جذب با "شغل رؤیایی" نشان میدهد که یا Charming Kitten به منظور پنهان کردن فعالیتهای خود در حال تقلید از گروه Lazarus است، یا اینکه کره شمالی تکنیکها و ابزارهای خود را با ایران به اشتراک گذاشته است.
این کمپین از حداقل سپتامبر ۲۰۲۳ فعال بوده است. پیش از این، Mandiant نیز فعالیتهای جاسوسی مشکوک ایران را علیه صنایع هوافضا، هوانوردی و دفاعی در کشورهای خاورمیانه از جمله اسرائیل و امارات متحده عربی، همچنین ترکیه، هند و آلبانی گزارش کرده بود. پروفایلهای جعلی در لینکدین که توسط این کمپین استفاده میشود، نسخههای جدیدتری از پروفایلهایی هستند که قبلاً توسط Mandiant شناسایی شده بودند، از جمله یک پروفایل جعلی با نام "Careers 2 Find" که پیشتر به وبسایت جعلی "1st Employer" وابسته بود.
نحوه عملکرد کمپین
TA455 با استفاده از وبسایتهای جعلی و پروفایلهای لینکدین، یک فایل ZIP حاوی فایلهای مخرب را توزیع میکند. این فایل ZIP، که شامل فایلهای قانونی است، از دامنهای شبیه به یک وبسایت استخدامی دانلود میشود. به قربانیان یک راهنمای PDF داده میشود تا نحوه "دسترسی ایمن" به وبسایت را یاد بگیرند و به این ترتیب از انجام اشتباهاتی که ممکن است مانع "آلوده شدن" شوند، جلوگیری شود. پس از دانلود فایل، قربانی بر روی فایل EXE مشخصشده کلیک میکند که فایل DLL مخرب "secur32[.]dll" را از طریق بارگذاری جانبی DLL فعال میکند. بدافزار، آدرس IP قربانی را بررسی کرده و اطلاعات را از حساب GitHub که آدرس سرور C&C در آن ذخیره شده است، دانلود میکند.
—————
https://www.clearskysec.com/irdreamjob24/
https://www.clearskysec.com/wp-content/uploads/2024/11/Iranian-Dream-Job-ver1.pdf
@NarimanGharib
در این کمپین، بدافزاری به نام SnailResin توزیع میشود که منجر به فعال شدن درب پشتی SlugResin میشود. ClearSky این بدافزارها را به زیرگروهی از گروه Charming Kitten نسبت داده است. با این حال، برخی از شرکتهای تحقیقاتی سایبری، فایلهای بدافزار را به گروه Kimsuky/Lazarus از کره شمالی نسبت دادهاند.
شباهتهای میان تکنیکهای حمله، فایلهای بدافزار و روش جذب با "شغل رؤیایی" نشان میدهد که یا Charming Kitten به منظور پنهان کردن فعالیتهای خود در حال تقلید از گروه Lazarus است، یا اینکه کره شمالی تکنیکها و ابزارهای خود را با ایران به اشتراک گذاشته است.
این کمپین از حداقل سپتامبر ۲۰۲۳ فعال بوده است. پیش از این، Mandiant نیز فعالیتهای جاسوسی مشکوک ایران را علیه صنایع هوافضا، هوانوردی و دفاعی در کشورهای خاورمیانه از جمله اسرائیل و امارات متحده عربی، همچنین ترکیه، هند و آلبانی گزارش کرده بود. پروفایلهای جعلی در لینکدین که توسط این کمپین استفاده میشود، نسخههای جدیدتری از پروفایلهایی هستند که قبلاً توسط Mandiant شناسایی شده بودند، از جمله یک پروفایل جعلی با نام "Careers 2 Find" که پیشتر به وبسایت جعلی "1st Employer" وابسته بود.
نحوه عملکرد کمپین
TA455 با استفاده از وبسایتهای جعلی و پروفایلهای لینکدین، یک فایل ZIP حاوی فایلهای مخرب را توزیع میکند. این فایل ZIP، که شامل فایلهای قانونی است، از دامنهای شبیه به یک وبسایت استخدامی دانلود میشود. به قربانیان یک راهنمای PDF داده میشود تا نحوه "دسترسی ایمن" به وبسایت را یاد بگیرند و به این ترتیب از انجام اشتباهاتی که ممکن است مانع "آلوده شدن" شوند، جلوگیری شود. پس از دانلود فایل، قربانی بر روی فایل EXE مشخصشده کلیک میکند که فایل DLL مخرب "secur32[.]dll" را از طریق بارگذاری جانبی DLL فعال میکند. بدافزار، آدرس IP قربانی را بررسی کرده و اطلاعات را از حساب GitHub که آدرس سرور C&C در آن ذخیره شده است، دانلود میکند.
—————
https://www.clearskysec.com/irdreamjob24/
https://www.clearskysec.com/wp-content/uploads/2024/11/Iranian-Dream-Job-ver1.pdf
@NarimanGharib
group-telegram.com/NarimanGharib/1692
Create:
Last Update:
Last Update:
کمپین "شغل رؤیایی ایرانی" که توسط تیم تحقیقاتی امنیت سایبری ClearSky شناسایی شده، یک کمپین هدفمند توسط گروه تهدیدی TA455 است که صنعت هوافضا را با ارائه پیشنهادات شغلی جعلی هدف قرار میدهد.
در این کمپین، بدافزاری به نام SnailResin توزیع میشود که منجر به فعال شدن درب پشتی SlugResin میشود. ClearSky این بدافزارها را به زیرگروهی از گروه Charming Kitten نسبت داده است. با این حال، برخی از شرکتهای تحقیقاتی سایبری، فایلهای بدافزار را به گروه Kimsuky/Lazarus از کره شمالی نسبت دادهاند.
شباهتهای میان تکنیکهای حمله، فایلهای بدافزار و روش جذب با "شغل رؤیایی" نشان میدهد که یا Charming Kitten به منظور پنهان کردن فعالیتهای خود در حال تقلید از گروه Lazarus است، یا اینکه کره شمالی تکنیکها و ابزارهای خود را با ایران به اشتراک گذاشته است.
این کمپین از حداقل سپتامبر ۲۰۲۳ فعال بوده است. پیش از این، Mandiant نیز فعالیتهای جاسوسی مشکوک ایران را علیه صنایع هوافضا، هوانوردی و دفاعی در کشورهای خاورمیانه از جمله اسرائیل و امارات متحده عربی، همچنین ترکیه، هند و آلبانی گزارش کرده بود. پروفایلهای جعلی در لینکدین که توسط این کمپین استفاده میشود، نسخههای جدیدتری از پروفایلهایی هستند که قبلاً توسط Mandiant شناسایی شده بودند، از جمله یک پروفایل جعلی با نام "Careers 2 Find" که پیشتر به وبسایت جعلی "1st Employer" وابسته بود.
نحوه عملکرد کمپین
TA455 با استفاده از وبسایتهای جعلی و پروفایلهای لینکدین، یک فایل ZIP حاوی فایلهای مخرب را توزیع میکند. این فایل ZIP، که شامل فایلهای قانونی است، از دامنهای شبیه به یک وبسایت استخدامی دانلود میشود. به قربانیان یک راهنمای PDF داده میشود تا نحوه "دسترسی ایمن" به وبسایت را یاد بگیرند و به این ترتیب از انجام اشتباهاتی که ممکن است مانع "آلوده شدن" شوند، جلوگیری شود. پس از دانلود فایل، قربانی بر روی فایل EXE مشخصشده کلیک میکند که فایل DLL مخرب "secur32[.]dll" را از طریق بارگذاری جانبی DLL فعال میکند. بدافزار، آدرس IP قربانی را بررسی کرده و اطلاعات را از حساب GitHub که آدرس سرور C&C در آن ذخیره شده است، دانلود میکند.
—————
https://www.clearskysec.com/irdreamjob24/
https://www.clearskysec.com/wp-content/uploads/2024/11/Iranian-Dream-Job-ver1.pdf
@NarimanGharib
در این کمپین، بدافزاری به نام SnailResin توزیع میشود که منجر به فعال شدن درب پشتی SlugResin میشود. ClearSky این بدافزارها را به زیرگروهی از گروه Charming Kitten نسبت داده است. با این حال، برخی از شرکتهای تحقیقاتی سایبری، فایلهای بدافزار را به گروه Kimsuky/Lazarus از کره شمالی نسبت دادهاند.
شباهتهای میان تکنیکهای حمله، فایلهای بدافزار و روش جذب با "شغل رؤیایی" نشان میدهد که یا Charming Kitten به منظور پنهان کردن فعالیتهای خود در حال تقلید از گروه Lazarus است، یا اینکه کره شمالی تکنیکها و ابزارهای خود را با ایران به اشتراک گذاشته است.
این کمپین از حداقل سپتامبر ۲۰۲۳ فعال بوده است. پیش از این، Mandiant نیز فعالیتهای جاسوسی مشکوک ایران را علیه صنایع هوافضا، هوانوردی و دفاعی در کشورهای خاورمیانه از جمله اسرائیل و امارات متحده عربی، همچنین ترکیه، هند و آلبانی گزارش کرده بود. پروفایلهای جعلی در لینکدین که توسط این کمپین استفاده میشود، نسخههای جدیدتری از پروفایلهایی هستند که قبلاً توسط Mandiant شناسایی شده بودند، از جمله یک پروفایل جعلی با نام "Careers 2 Find" که پیشتر به وبسایت جعلی "1st Employer" وابسته بود.
نحوه عملکرد کمپین
TA455 با استفاده از وبسایتهای جعلی و پروفایلهای لینکدین، یک فایل ZIP حاوی فایلهای مخرب را توزیع میکند. این فایل ZIP، که شامل فایلهای قانونی است، از دامنهای شبیه به یک وبسایت استخدامی دانلود میشود. به قربانیان یک راهنمای PDF داده میشود تا نحوه "دسترسی ایمن" به وبسایت را یاد بگیرند و به این ترتیب از انجام اشتباهاتی که ممکن است مانع "آلوده شدن" شوند، جلوگیری شود. پس از دانلود فایل، قربانی بر روی فایل EXE مشخصشده کلیک میکند که فایل DLL مخرب "secur32[.]dll" را از طریق بارگذاری جانبی DLL فعال میکند. بدافزار، آدرس IP قربانی را بررسی کرده و اطلاعات را از حساب GitHub که آدرس سرور C&C در آن ذخیره شده است، دانلود میکند.
—————
https://www.clearskysec.com/irdreamjob24/
https://www.clearskysec.com/wp-content/uploads/2024/11/Iranian-Dream-Job-ver1.pdf
@NarimanGharib
BY Nariman Gharib ——
Share with your friend now:
group-telegram.com/NarimanGharib/1692