Telegram Group & Telegram Channel
کمپین "شغل رؤیایی ایرانی" که توسط تیم تحقیقاتی امنیت سایبری ClearSky شناسایی شده، یک کمپین هدفمند توسط گروه تهدیدی TA455 است که صنعت هوافضا را با ارائه پیشنهادات شغلی جعلی هدف قرار می‌دهد.

در این کمپین، بدافزاری به نام SnailResin توزیع می‌شود که منجر به فعال شدن درب پشتی SlugResin می‌شود. ClearSky این بدافزارها را به زیرگروهی از گروه Charming Kitten نسبت داده است. با این حال، برخی از شرکت‌های تحقیقاتی سایبری، فایل‌های بدافزار را به گروه Kimsuky/Lazarus از کره شمالی نسبت داده‌اند.

شباهت‌های میان تکنیک‌های حمله، فایل‌های بدافزار و روش جذب با "شغل رؤیایی" نشان می‌دهد که یا Charming Kitten به منظور پنهان کردن فعالیت‌های خود در حال تقلید از گروه Lazarus است، یا اینکه کره شمالی تکنیک‌ها و ابزارهای خود را با ایران به اشتراک گذاشته است.

این کمپین از حداقل سپتامبر ۲۰۲۳ فعال بوده است. پیش از این، Mandiant نیز فعالیت‌های جاسوسی مشکوک ایران را علیه صنایع هوافضا، هوانوردی و دفاعی در کشورهای خاورمیانه از جمله اسرائیل و امارات متحده عربی، همچنین ترکیه، هند و آلبانی گزارش کرده بود. پروفایل‌های جعلی در لینکدین که توسط این کمپین استفاده می‌شود، نسخه‌های جدیدتری از پروفایل‌هایی هستند که قبلاً توسط Mandiant شناسایی شده بودند، از جمله یک پروفایل جعلی با نام "Careers 2 Find" که پیش‌تر به وبسایت جعلی "1st Employer" وابسته بود.

نحوه عملکرد کمپین

TA455 با استفاده از وب‌سایت‌های جعلی و پروفایل‌های لینکدین، یک فایل ZIP حاوی فایل‌های مخرب را توزیع می‌کند. این فایل ZIP، که شامل فایل‌های قانونی است، از دامنه‌ای شبیه به یک وب‌سایت استخدامی دانلود می‌شود. به قربانیان یک راهنمای PDF داده می‌شود تا نحوه "دسترسی ایمن" به وب‌سایت را یاد بگیرند و به این ترتیب از انجام اشتباهاتی که ممکن است مانع "آلوده شدن" شوند، جلوگیری شود. پس از دانلود فایل، قربانی بر روی فایل EXE مشخص‌شده کلیک می‌کند که فایل DLL مخرب "secur32[.]dll" را از طریق بارگذاری جانبی DLL فعال می‌کند. بدافزار، آدرس IP قربانی را بررسی کرده و اطلاعات را از حساب GitHub که آدرس سرور C&C در آن ذخیره شده است، دانلود می‌کند.

—————
https://www.clearskysec.com/irdreamjob24/
https://www.clearskysec.com/wp-content/uploads/2024/11/Iranian-Dream-Job-ver1.pdf

@NarimanGharib



group-telegram.com/NarimanGharib/1692
Create:
Last Update:

کمپین "شغل رؤیایی ایرانی" که توسط تیم تحقیقاتی امنیت سایبری ClearSky شناسایی شده، یک کمپین هدفمند توسط گروه تهدیدی TA455 است که صنعت هوافضا را با ارائه پیشنهادات شغلی جعلی هدف قرار می‌دهد.

در این کمپین، بدافزاری به نام SnailResin توزیع می‌شود که منجر به فعال شدن درب پشتی SlugResin می‌شود. ClearSky این بدافزارها را به زیرگروهی از گروه Charming Kitten نسبت داده است. با این حال، برخی از شرکت‌های تحقیقاتی سایبری، فایل‌های بدافزار را به گروه Kimsuky/Lazarus از کره شمالی نسبت داده‌اند.

شباهت‌های میان تکنیک‌های حمله، فایل‌های بدافزار و روش جذب با "شغل رؤیایی" نشان می‌دهد که یا Charming Kitten به منظور پنهان کردن فعالیت‌های خود در حال تقلید از گروه Lazarus است، یا اینکه کره شمالی تکنیک‌ها و ابزارهای خود را با ایران به اشتراک گذاشته است.

این کمپین از حداقل سپتامبر ۲۰۲۳ فعال بوده است. پیش از این، Mandiant نیز فعالیت‌های جاسوسی مشکوک ایران را علیه صنایع هوافضا، هوانوردی و دفاعی در کشورهای خاورمیانه از جمله اسرائیل و امارات متحده عربی، همچنین ترکیه، هند و آلبانی گزارش کرده بود. پروفایل‌های جعلی در لینکدین که توسط این کمپین استفاده می‌شود، نسخه‌های جدیدتری از پروفایل‌هایی هستند که قبلاً توسط Mandiant شناسایی شده بودند، از جمله یک پروفایل جعلی با نام "Careers 2 Find" که پیش‌تر به وبسایت جعلی "1st Employer" وابسته بود.

نحوه عملکرد کمپین

TA455 با استفاده از وب‌سایت‌های جعلی و پروفایل‌های لینکدین، یک فایل ZIP حاوی فایل‌های مخرب را توزیع می‌کند. این فایل ZIP، که شامل فایل‌های قانونی است، از دامنه‌ای شبیه به یک وب‌سایت استخدامی دانلود می‌شود. به قربانیان یک راهنمای PDF داده می‌شود تا نحوه "دسترسی ایمن" به وب‌سایت را یاد بگیرند و به این ترتیب از انجام اشتباهاتی که ممکن است مانع "آلوده شدن" شوند، جلوگیری شود. پس از دانلود فایل، قربانی بر روی فایل EXE مشخص‌شده کلیک می‌کند که فایل DLL مخرب "secur32[.]dll" را از طریق بارگذاری جانبی DLL فعال می‌کند. بدافزار، آدرس IP قربانی را بررسی کرده و اطلاعات را از حساب GitHub که آدرس سرور C&C در آن ذخیره شده است، دانلود می‌کند.

—————
https://www.clearskysec.com/irdreamjob24/
https://www.clearskysec.com/wp-content/uploads/2024/11/Iranian-Dream-Job-ver1.pdf

@NarimanGharib

BY Nariman Gharib ——





Share with your friend now:
group-telegram.com/NarimanGharib/1692

View MORE
Open in Telegram


Telegram | DID YOU KNOW?

Date: |

The regulator said it has been undertaking several campaigns to educate the investors to be vigilant while taking investment decisions based on stock tips. Again, in contrast to Facebook, Google and Twitter, Telegram's founder Pavel Durov runs his company in relative secrecy from Dubai. "The inflation fire was already hot and now with war-driven inflation added to the mix, it will grow even hotter, setting off a scramble by the world’s central banks to pull back their stimulus earlier than expected," Chris Rupkey, chief economist at FWDBONDS, wrote in an email. "A spike in inflation rates has preceded economic recessions historically and this time prices have soared to levels that once again pose a threat to growth." You may recall that, back when Facebook started changing WhatsApp’s terms of service, a number of news outlets reported on, and even recommended, switching to Telegram. Pavel Durov even said that users should delete WhatsApp “unless you are cool with all of your photos and messages becoming public one day.” But Telegram can’t be described as a more-secure version of WhatsApp. However, the perpetrators of such frauds are now adopting new methods and technologies to defraud the investors.
from sa


Telegram Nariman Gharib ——
FROM American