Se ha observado que el actor de amenazas iraní conocido como TA455 sigue el manual de un grupo de hackers norcoreano para orquestar su propia versión de la campaña Dream Job dirigida a la industria aeroespacial ofreciendo trabajos falsos desde al menos septiembre de 2023.
“La campaña distribuyó el malware SnailResin, que activa la puerta trasera SlugResin”, dijo la empresa israelí de ciberseguridad ClearSky. dicho en un análisis del martes.
TA455, también rastreado por Mandiant, propiedad de Google, como UNC1549 y Yellow Dev 13, se considera un subgrupo dentro de APT35, conocido con los nombres CALANQUE, Charming Kitten, CharmingCypress, ITG18, Mint Sandstorm (anteriormente Phosphorus), Newscaster. , TA453 y Garuda Amarillo.
Afiliado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), se dice que el grupo comparte superposiciones tácticas con grupos denominados Smoke Sandstorm (anteriormente Bohrium) y Crimson Sandstorm (anteriormente Curium).
A principios de febrero, se atribuyó al colectivo adversario estar detrás de una serie de campañas muy específicas dirigidas a las industrias aeroespacial, de aviación y de defensa en el Medio Oriente, incluidos Israel, los Emiratos Árabes Unidos, Turquía, India y Albania.
Los ataques implican el uso de tácticas de ingeniería social que emplean señuelos relacionados con el trabajo para generar dos puertas traseras denominadas MINIBIKE y MINIBUS. Empresa de seguridad empresarial Proofpoint dicho También ha observado que “TA455 utiliza empresas fachada para interactuar profesionalmente con objetivos de interés a través de una página Contáctenos o una solicitud de ventas”.
Dicho esto, esta no es la primera vez que el actor de amenazas aprovecha señuelos con temas laborales en sus campañas de ataque. En su informe “Amenazas cibernéticas 2022: un año en retrospectiva”, PwC dijo que detectó una actividad motivada por espionaje realizada por TA455, en la que los atacantes se hicieron pasar por reclutadores de empresas reales o ficticias en varias plataformas de redes sociales.
“Yellow Dev 13 utilizó una variedad de fotografías generadas por inteligencia artificial (IA) para sus personajes y se hizo pasar por al menos un individuo real para sus operaciones”, dijo la compañía. anotado.
ClearSky dijo que identificó varias similitudes entre las dos campañas Dream Job realizadas por Lazarus Group y TA455, incluido el uso de señuelos de oportunidades laborales y carga lateral de DLL para implementar malware.
Esto ha planteado la posibilidad de que este último esté copiando deliberadamente el arte del grupo de hackers norcoreano para confundir los esfuerzos de atribución, o que exista algún tipo de intercambio de herramientas.
Las cadenas de ataque utilizan sitios web de contratación falsos (“careers2find[.]com”) y perfiles de LinkedIn para distribuir un archivo ZIP que, entre otros archivos, contiene un ejecutable (“SignedConnection.exe”) y un archivo DLL malicioso (“secur32.dll”) que se descarga cuando se ejecuta el archivo EXE.
Según Microsoft, secur32.dll es un cargador de troyanos llamado CaracolResina que es responsable de cargar BabosaResinauna versión actualizada del rompebajos puerta trasera que otorga acceso remoto a una máquina comprometida, lo que permite efectivamente a los actores de amenazas implementar malware adicional, robar credenciales, escalar privilegios y moverse lateralmente a otros dispositivos en la red.
Los ataques también se caracterizan por el uso de GitHub como solucionador de caída muerta codificando el servidor de comando y control real dentro de un repositorio, lo que permite al adversario ocultar sus operaciones maliciosas y mezclarse con el tráfico legítimo.
“TA455 utiliza un proceso de infección de múltiples etapas cuidadosamente diseñado para aumentar sus posibilidades de éxito y minimizar la detección”, dijo ClearSky.
“Los correos electrónicos iniciales de phishing probablemente contengan archivos adjuntos maliciosos disfrazados de documentos relacionados con el trabajo, que luego se ocultan dentro de archivos ZIP que contienen una combinación de archivos legítimos y maliciosos. Este enfoque en capas tiene como objetivo eludir los análisis de seguridad y engañar a las víctimas para que ejecuten el malware. “