Aktor ancaman Iran yang dikenal sebagai TA455 telah diamati meniru pedoman kelompok peretas Korea Utara untuk mengatur versinya sendiri dari kampanye Pekerjaan Impian yang menargetkan industri kedirgantaraan dengan menawarkan pekerjaan palsu setidaknya sejak September 2023.
"Kampanye ini mendistribusikan malware SnailResin, yang mengaktifkan pintu belakang SlugResin," kata perusahaan keamanan siber Israel ClearSky dalam analisis hari Selasa.
TA455, juga dilacak oleh Mandiant milik Google sebagai UNC1549 dan Yellow Dev 13, dinilai sebagai sub-klaster dalam APT35 , yang dikenal dengan nama CALANQUE, Charming Kitten, CharmingCypress, ITG18, Mint Sandstorm (sebelumnya Phosphorus), Newscaster, TA453, dan Yellow Garuda.
Berafiliasi dengan Korps Garda Revolusi Islam (IRGC) Iran, kelompok tersebut dikatakan memiliki tumpang tindih taktis dengan kelompok yang disebut sebagai Smoke Sandstorm (sebelumnya Bohrium) dan Crimson Sandstorm (sebelumnya Curium).
Awal bulan Februari ini, kolektif yang berseteru itu dianggap berada di balik serangkaian kampanye yang sangat tertarget yang ditujukan pada industri kedirgantaraan, penerbangan, dan pertahanan di Timur Tengah, termasuk Israel, UEA, Turki, India, dan Albania.
Serangan tersebut melibatkan penggunaan taktik rekayasa sosial yang menggunakan umpan terkait pekerjaan untuk mengirimkan dua pintu belakang yang dijuluki MINIBIKE dan MINIBUS. Perusahaan keamanan perusahaan Proofpoint mengatakan bahwa mereka juga telah mengamati: "TA455 menggunakan perusahaan depan untuk terlibat secara profesional dengan target yang diminati melalui halaman ContactUs atau permintaan penjualan."
Meski demikian, ini bukan pertama kalinya pelaku ancaman memanfaatkan umpan bertema pekerjaan dalam kampanye serangannya. Dalam laporan "Cyber Threats 2022: A Year in Retrospect", PwC mengatakan telah mendeteksi aktivitas bermotivasi spionase yang dilakukan oleh TA455, di mana para penyerang menyamar sebagai perekrut untuk perusahaan nyata atau fiktif di berbagai platform media sosial.
"Yellow Dev 13 menggunakan berbagai foto yang dihasilkan kecerdasan buatan (AI) untuk persona-nya dan meniru setidaknya satu individu nyata untuk operasinya," catat perusahaan itu .
ClearSky mengatakan pihaknya mengidentifikasi beberapa kesamaan antara dua kampanye Pekerjaan Impian yang dilakukan oleh Lazarus Group dan TA455, termasuk penggunaan umpan peluang kerja dan pemuatan samping DLL untuk menyebarkan malware.
Hal ini memunculkan kemungkinan bahwa yang terakhir ini sengaja menyalin taktik kelompok peretas Korea Utara untuk membingungkan upaya atribusi, atau ada semacam pembagian alat.
Rantai serangan memanfaatkan situs web perekrutan palsu ("careers2find[.]com") dan profil LinkedIn untuk mendistribusikan arsip ZIP, yang, di antara file-file lainnya, berisi file yang dapat dieksekusi ("SignedConnection.exe") dan file DLL berbahaya ("secur32.dll") yang diunggah saat file EXE dijalankan.
Menurut Microsoft, secur32.dll adalah trojan loader bernama SnailResin yang bertanggung jawab untuk memuat SlugResin , versi terbaru dari backdoor BassBreaker yang memberikan akses jarak jauh ke mesin yang disusupi, sehingga secara efektif memungkinkan pelaku ancaman untuk menyebarkan malware tambahan, mencuri kredensial, meningkatkan hak istimewa, dan berpindah secara lateral ke perangkat lain di jaringan.
Serangan tersebut juga dicirikan dengan penggunaan GitHub sebagai dead drop resolver dengan mengodekan server perintah-dan-kontrol sesungguhnya dalam sebuah repositori, sehingga memungkinkan penyerang untuk mengaburkan operasi jahat mereka dan berbaur dengan lalu lintas yang sah.
"TA455 menggunakan proses infeksi multi-tahap yang dirancang dengan cermat untuk meningkatkan peluang keberhasilan sekaligus meminimalkan deteksi," kata ClearSky.
"Email spear-phishing awal kemungkinan berisi lampiran berbahaya yang disamarkan sebagai dokumen terkait pekerjaan, yang selanjutnya disembunyikan dalam file ZIP yang berisi campuran file yang sah dan berbahaya. Pendekatan berlapis ini bertujuan untuk melewati pemindaian keamanan dan mengelabui korban agar menjalankan malware."
0 Comments