Iráni műveletek fejlődése
A Check Point Research elemzése szerint az iráni állami hátterű kiberműveletek a hagyományos spear-phishing akciókból kifinomult, többfázisú kiberkémkedési infrastruktúrává váltak. A Nimbus Manticore – UNC1549 vagy Smoke Sandstorm – elsősorban védelmi ipari, telekommunikációs és légiközlekedési célpontokat támadott a Közel-Keleten és Európában, különösen az iráni–izraeli konfliktus idején.
A kampány központi eleme továbbra is az úgynevezett Iranian Dream Job módszertan. A támadók HR-recruiternek adják ki magukat, majd személyre szabott spear-phishing üzenetekkel hamis állásinterjú- vagy karrierportálokra irányítják az áldozatokat. A portálok React-alapú klónoldalak, amelyek ismert vállalatokat – például Boeinget, Airbust vagy Rheinmetallt – imitálnak. Minden célpont egyedi URL-t és külön hitelesítő adatokat kap, ami lehetővé teszi a támadók számára a precíz áldozat célzást és az operatív biztonság fenntartását.
Technikailag az egyik legfontosabb újítás a többlépcsős DLL sideloading lánc. A fertőzés egy legitim Windows executable-lel indul, amely rosszindulatú DLL-eket tölt be módosított DLL search order manipulációval. A támadók olyan legitim komponenseket használnak, mint a Windows Defender SenseSampleUploader.exe, amelyen keresztül a malware saját xmllite.dll loaderét futtatják. A Check Point szerint ez egy korábban nem dokumentált módszer, amely alacsony szintű Windows API-kat használ alternatív DLL betöltési útvonalak létrehozására.
A kampány malware-oldalon is jelentősen fejlődött. A korábbi Minibike implantátum új generációja már MiniJunk néven ismert. A backdoor erősen obfuszkált, méretnövelt PE fájlokat használ, junk code insertionnel, opaque predicate-ekkel és compiler-level obfuscation technikákkal. A cél nemcsak a detekció elkerülése, hanem a reverse engineering időigényének drasztikus növelése. A malware több HTTPS-alapú C2 csatornát használ redundánsan, és képes fájlműveletekre, payload-betöltésre, folyamatindításra és adatlopásra. A kampány másik komponense a MiniBrowse stealer, amely Chrome- és Edge-hitelesítő adatokat, session tokeneket és böngészőadatokat gyűjt.
A Check Point szerint különösen figyelemre méltó a kampány operatív érettsége. A támadók Cloudflare mögé rejtett infrastruktúrát, Azure App Service hostingot és redundáns C2-környezeteket használnak. Több mint egyszerű phishing műveletről van szó: a cél hosszú távú, rejtett hozzáférések kialakítása stratégiai iparágakban, különösen olyan szektorokban, amelyek kapcsolódnak az iráni IRGC hírszerzési prioritásaihoz.
