Иранские киберпреступники используют подставные вакансии для атак на аэрокосмическую отрасль

Иранская хакерская группа TA455, известная также как UNC1549 или Yellow Dev 13, продолжает свои кибершпионские атаки, нацеленные на аэрокосмическую промышленность. В последние месяцы группа использует тактику социальной инженерии, предлагая фальшивые рабочие вакансии для распространения вредоносного ПО, с помощью которого они получают удаленный доступ к зараженным устройствам.

С сентября 2023 года группа использует фальшивые рекрутинговые сайты и профили на LinkedIn, чтобы заманить цели в ловушку. Зараженные письма с предложениями о работе содержат архивы ZIP, в которых скрыты вредоносные исполнимые файлы, такие как SignedConnection.exe, а также DLL-файлы, такие как secur32.dll. Этот файл активирует вредоносную программу SnailResin, которая в свою очередь загружает обновленную версию бэкдора SlugResin, предоставляя злоумышленникам полный контроль над зараженными машинами.

Методы, используемые TA455, схожи с тактикой, применяемой северокорейскими хакерами из группы Lazarus, что может указывать на попытку запутать следы и сбить с толку расследования. Эксперты из ClearSky подчеркивают, что эти атаки имеют многослойный характер, что позволяет минимизировать вероятность их обнаружения.

Используемая схема включает фальшивые сайты с вакансиями и профили, созданные с помощью искусственного интеллекта, а также кодирование серверов управления внутри репозиториев на GitHub, что помогает скрывать кибератаки среди легитимного интернет-трафика.