Iráni hackerek álommunka csalival terjesztik a SnailResin malware-t
A TA455 néven ismert iráni kiberszereplő megfigyelések szerint egy észak-koreai hackercsoport játékkönyvéből vett példát, és 2023 szeptembere óta hamis állásokat kínálva saját Dream Job kampányt folytat, amely a repülőgépipart célozza meg. A kampány során a SnailResin kártevőt terjesztik, amely aktiválja a SlugResin backdoor-t” – közölte a ClearSky izraeli kiberbiztonsági vállalat egy 2024. november 12-i elemzésében. A TA455, amelyet a Google tulajdonában lévő Mandiant UNC1549 és a PwC Yellow Dev 13 néven is nyomon követ, a kutatók szerint az APT35 alcsoportja, amely CALANQUE, Charming Kitten, CharmingCypress, ITG18, Mint Sandstorm (korábban Phosphorus), Newscaster, TA453 és Yellow Garuda néven ismert. Az iráni Iszlám Forradalmi Gárdához (IRGC) kötődő csoport állítólag taktikai átfedéseket mutat a Smoke Sandstorm (korábban Bohrium) és a Crimson Sandstorm (korábban Curium) nevű csoportokkal.
A ClearSky Cyber Security által feltárt Dream Job egy olyan kampány, amelyben a kiberszereplők a célpontokat egy álommunka felajánlásával manipulálja, főként a repülőgépipar, a repülés és a védelem területén dolgozókat. A Clear Sky Security 2020 augusztusában leplezte le az első Dream Job kampányt, amelyet az észak-koreai Lazarus Group folytatott.
A jelenlegi Dream Job kampányban felfedeztünk egy SnailResin malware-t tartalmazó fájlt. Mind a SlugResin, mind a SnailResin-t a Microsoft a Charming Kitten (más néven APT35 és Smoke Sandstorm) egyik alcsoportjának tulajdonították. A ClearSky vizsgálatai során kiderült, hogy a kártevő egy olyan domainről töltődik le, amely egy álláskereső webhelyet személyesít meg (visszatérő elem), amelyen keresztül a toborzó LinkedIn-profilja is feltűnik. Úgy tűnik, hogy a TA455 ugyanazt a profilt használja, mint a korábbi támadások során. A kártevőfájlokat a vírusirtó motorok néhány esetben a Charming Kitten helyett Kimsuky/Lazarus APT-csoport kártevőiként észlelték. Jelentős hasonlóságokat találtak az észak-koreai Lazarus APT-csoport és a Charming Kitten támadásai között.
