Аналитики Check Point Research (CPR) раскрыли детали продолжающейся кампании иранской группы угроз Nimbus Manticore, также известной как UNC1549 или Smoke Sandstorm. Эта зрелая APT-группа демонстрирует повышенный интерес к организациям в Западной Европе, в частности в Дании, Швеции и Португалии. Целями становятся компании оборонно-промышленного комплекса, телекоммуникационного сектора и авиационной отрасли, что соответствует стратегическим приоритетам Корпуса стражей исламской революции (ИРГК).
Описание
Кампания характеризуется высокотаргетированными фишинговыми атаками. Злоумышленники выдавали себя за рекрутеров известных аэрокосмических и оборонных компаний, таких как Boeing, Airbus, Rheinmetall и flydubai, и приглашали жертв на фиктивные порталы карьеры, созданные на основе шаблона React. Каждая цель получала уникальную ссылку и учетные данные, что позволяло группировке контролировать доступ и отслеживать каждую жертву, демонстрируя серьезные меры операционной безопасности.
Атака начинается с загрузки жертвой вредоносного архива, маскирующегося под легальное программное обеспечение, связанное с процессом трудоустройства. Далее запускается сложная многостадийная цепочка заражения, ключевым элементом которой является ранее не документированная техника многоэтапного DLL side-loading. Этот метод позволяет злонамеренной библиотеке userenv.dll с использованием низкоуровневых API незаметно загружать основной вредоносный компонент. Для обеспечения устойчивости вредоносное ПО копирует себя в рабочую директорию и создает задание в Планировщике заданий Windows.
Арсенал Nimbus Manticore включает в себя бэкдор MiniJunk и стилер (программа для кражи данных) MiniBrowse. MiniJunk представляет собой эволюцию импланта Minibike, впервые задокументированного Mandiant в 2022 году. За последний год бэкдор претерпел значительные изменения, направленные на максимальное затруднение обнаружения и анализа. Основные усовершенствования включают использование действительных цифровых подписей от сервиса SSL.com, что резко снизило уровень детектирования антивирусными движками. Кроме того, злоумышленники намеренно увеличивают размер исполняемых файлов, добавляя "мусорный" код, что позволяет обходить ограничения многих систем защиты, которые не анализируют файлы большого объема целиком.
Но главной особенностью новых образцов является применение мощной обфускации на уровне компилятора, вероятно, реализованной с помощью кастомных проходов LLVM. Это включает в себя запутывание потока управления, вставку непрозрачных предикатов, обфускацию вызовов функций и шифрование строк. Каждая строка шифруется индивидуальным ключом, а алгоритм дешифровки для каждой строки уникален и перегружен "мусорным" кодом. Такие методы делают статический анализ чрезвычайно сложным, а сами образцы практически "необратимыми" стандартными инструментами.
Функциональность бэкдора MiniJunk является стандартной для подобных угроз: он поддерживает команды для сбора системной информации, управления файлами, создания процессов и загрузки дополнительных библиотек. Для обеспечения отказоустойчивости используется несколько жестко заданных командных серверов, которые чередуются в случае недоступности одного из них. Коммуникация с серверами осуществляется по HTTPS с использованием простого кодирования, а не шифрования данных.
Параллельно с активностью, связанной с MiniJunk, исследователи обнаружили отдельный, но тесно связанный кластер операций. Он использует схожие тактики, однако вредоносные полезные нагрузки, такие как dxgi.dll, отличаются меньшим размером и отсутствием сложной обфускации. Несмотря на различия в деталях реализации, анализ кодовой базы указывает на общее происхождение с MiniJunk, что позволяет предположить, что разные подразделения группы имеют доступ к единой базе кода и адаптируют ее под конкретные задачи.
Инфраструктура группы активно использует легитимные облачные сервисы, в частности Azure App Service и Cloudflare, что обеспечивает гибкость, избыточность и скрывает реальные IP-адреса серверов. Таргетирование организаций в секторах телекоммуникаций, обороны и авиации соответствует стратегическим интересам Ирана по сбору разведывательной информации. Примечательно, что активность группы не прерывалась даже на фоне двенадцатидневного конфликта между Израилем и Ираном, что подчеркивает ее устойчивость и долгосрочные цели.
Деятельность Nimbus Manticore является наглядным примером зрелой и хорошо финансируемой группы, делающей ставку на скрытность, устойчивость и операционную безопасность на всех уровнях - от доставки до полезной нагрузки. Постоянная эволюция их инструментария требует от специалистов по кибербезопасности повышенного внимания к подобным угрозам и разработки продвинутых методов детектирования и анализа.
Индикаторы компрометации
Domains
- activehealthlab.azurewebsites.net
- activespiritluth.eastus.cloudapp.azure.com
- acupuncturebentonville.com
- aeroclinicit.azurewebsites.net
- airbus.careers-portal.org
- airbus.careersworld.org
- airbus.germanywork.org
- airbus.global-careers.com
- airbus.usa-careers.com
- airmdsolutions.azurewebsites.net
- airtravellog.com
- arabiccountriestalent.azurewebsites.net
- arabiccountriestalent.com
- arabiccountriestalenthr.azurewebsites.net
- arabiccountriestalents.azurewebsites.net
- arabiccountriestalentshr.azurewebsites.net
- asylimed.azurewebsites.net
- backsrv66.azurewebsites.net
- backsrv74.azurewebsites.net
- biolinksystems.azurewebsites.net
- boeing-careers.com
- cardiomedspecialists.azurewebsites.net
- carebytesolutions.azurewebsites.net
- careers-hub.org
- careers-portal.org
- careersworld.org
- check-backup-service.azurewebsites.net
- check-backup-service-179.azurewebsites.net
- check-backup-service-288.azurewebsites.net
- check-backup-service-736.azurewebsites.net
- clinichaven.azurewebsites.net
- cloudaskingquestioning.azurewebsites.net
- cloudaskingquestioning.azurewebsites.net.net
- cloudaskingquestions.azurewebsites.net.net
- cloudaskingquestions.eastus.cloudapp.azure.com
- cloudaskingquestions.eastus.cloudapp.azure.com.net
- cloudaskquestionanswers.azurewebsites.net
- cloudaskquestionanswers.azurewebsites.net.net
- cloudaskquestionanswers.com
- cloudaskquestionanswers.com.net
- cloudaskquestioning.eastus.cloudapp.azure.com
- cloudaskquestioning.eastus.cloudapp.azure.com.net
- collaboromarketing.com
- createformquestionshelper.com
- createformquestionshelper.com.net
- datasheet96.azurewebsites.net
- digicura.azurewebsites.net
- digithealthplatform.azurewebsites.net
- doctorconsult-app.azurewebsites.net
- ehealthpsuluth.com
- exchtestchecking.azurewebsites.net
- exchtestcheckingapihealth.com
- exchtestcheckingapijson.azurewebsites.net
- flydubaicareers.ae.org
- focusfusion.eastus.cloudapp.azure.com
- frameforward.azurewebsites.net
- germanywork.org
- global-careers.com
- gocareers.org
- grownehealth.eastus.cloudapp.azure.com
- healsanctum.azurewebsites.net
- healthbodymonitoring.azurewebsites.net
- healthcare-azureapi.azurewebsites.net
- healthcarefluent.com
- healthdataanalyticsrecord.azurewebsites.net
- hivemedtech.azurewebsites.net
- lensvisionary.azurewebsites.net
- mainrepo10.azurewebsites.net
- managetools-platform.azurewebsites.net
- marsoxygen.azurewebsites.net
- masterflexiblecloud.azurewebsites.net
- maydaymed.azurewebsites.net
- mediasylum.azurewebsites.net
- medical-deepresearch.azurewebsites.net
- medicalit-imaging.azurewebsites.net
- medicoreit.azurewebsites.net
- medicpathsolutions.azurewebsites.net
- mentalhealth-support-portal.azurewebsites.net
- mojavemassageandwellness.com
- msnotetask-insights.azurewebsites.net
- mstrakcer-tools.azurewebsites.net
- nanobreathe.azurewebsites.net
- neurocloudhq.azurewebsites.net
- nextgenhealthtrack.azurewebsites.net
- olemanage-dashboard.azurewebsites.net
- oletask-tracker.azurewebsites.net
- patient-azureportal.azurewebsites.net
- patientcare-portal.azurewebsites.net
- pharmainfo.azurewebsites.net
- rheinmetall.careers-hub.org
- rheinmetall.careersworld.org
- rheinmetall.gocareers.org
- rheinmetall.theworldcareers.com
- rheinmetallcareer.com
- rheinmetallcareer.org
- rpcconnection.azurewebsites.net
- send-feedback.azurewebsites.net
- send-feedback-296.azurewebsites.net
- send-feedback-413.azurewebsites.net
- send-feedback-838.azurewebsites.net
- services-update-check.azurewebsites.net
- smartapptools.azurewebsites.net
- smartmediq.azurewebsites.net
- storagewiz.co.azurewebsites.net
- sulumorbusinessservices.com
- symptom-recordchecker.azurewebsites.net
- systemmedicaleducation.azurewebsites.net
- tacticalsnap.eastus.cloudapp.azure.com
- talenthumanresourcestalent.com
- telehealthconnectpro.azurewebsites.net
- thecloudappbox.azurewebsites.net
- therashelter.azurewebsites.net
- thetacticstore.com
- theworldcareers.com
- totalcaremedcenter.azurewebsites.net
- traveltipspage.com
- trustedcarehub360.azurewebsites.net
- turbulencemd.azurewebsites.net
- usa-careers.com
- ventilateainest.azurewebsites.net
- virgomarketingsolutions.com
- virgomarketingsolutions.comtions.com
- virtualcliniczone.azurewebsites.net
- vitatechlink.azurewebsites.net
- vitatechlinks.azurewebsites.net
- wellnessfirstgroup.azurewebsites.net
- wellnessglowluth.azurewebsites.net
- yourfamilymdclinic.azurewebsites.net
- zerogmed.azurewebsites.net
SHA256
- 054483046c9f593114bc3ddc3613f71af6b30d2e4b7e7faec1f26e72ae6d7669
- 061c28a9cf06c9f338655a520d13d9b0373ba9826a2759f989985713b5a4ba2b
- 0b2c137ef9087cb4635e110f8e12bb0ed43b6d6e30c62d1f880db20778b73c9a
- 0e4ff052250ade1edaab87de194e87a9afeff903695799bcbc3571918b131100
- 1b629042b5f08b7460975b5ecabc5b195fcbdf76ea50416f512a3ae7a677614a
- 23c0b4f1733284934c071df2bf953a1a894bb77c84cff71d9bfcf80ce3dc4c16
- 3b4667af3a3e6ed905ae73683ee78d2c608a00e566ae446003da47947320097f
- 3b58fd0c0ef8a42226be4d26a64235da059986ec7f5990d5c50d47b7a6cfadcd
- 41d60b7090607e0d4048a3317b45ec7af637d27e5c3e6e89ea8bdcad62c15bf9
- 4260328c81e13a65a081be30958d94b945fea6f2a483d051c52537798b100c69
- 4da158293f93db27906e364a33e5adf8de07a97edaba052d4a9c1c3c3a7f234d
- 53ff76014f650b3180bc87a23d40dc861a005f47a6977cb2fba8907259c3cf7a
- 5985bf904c546c2474cbf94d6d6b2a18a4c82a1407c23a5a5eca3cd828f03826
- 5d832f1da0c7e07927dcf72d6a6f011bfc7737dc34f39c561d1457af83e04e70
- 6780116ec3eb7d26cf721607e14f352957a495d97d74234aade67adbdc3ed339
- 7c77865f27b8f749b7df805ee76cf6e4575cbe0c4d9c29b75f8260210a802fce
- 8e7771ed1126b79c9a6a1093b2598282221cad8524c061943185272fbe58142d
- 954de96c7fcc84fb062ca1e68831ae5745cf091ef5fb2cb2622edf2358e749e0
- 95d246e4956ad5e6b167a3d9d939542d6d80ec7301f337e00bb109cc220432cf
- 9b186530f291f0e6ebc981399c956e1de3ba26b0315b945a263250c06831f281
- 9ec7899729aac48481272d4b305cefffa7799dcdad88d02278ee14315a0a8cc1
- a37d36ade863966fb8520ea819b1fd580bc13314fac6e73cb62f74192021dab9
- a4f5251c81f080d80d1f75ad4cc8f5bc751e7c6df5addcfca268d59107737bd0
- afe679de1a84301048ce1313a057af456e7ee055519b3693654bbb7312083876
- b405ae67c4ad4704c2ae33b2cf60f5b0ccdaff65c2ec44f5913664805d446c9b
- b43487153219d960b585c5e3ea5bb38f6ea04ec9830cca183eb39ccc95d15793
- b9b3ba39dbb6f4da3ed492140ffc167bde5dee005a35228ce156bed413af622d
- bc9f2abce42141329b2ecd0bf5d63e329a657a0d7f33ccdf78b87cf4e172fbd1
- c22b12d8b1e21468ed5d163efbf7fee306e357053d454e1683ddc3fe14d25db5
- cf0c50670102e7fc6499e8d912ce1f5bd389fad5358d5cae53884593c337ac2e
- d2db5b9b554470f5e9ad26f37b6b3f4f3dae336b3deea3f189933d007c17e3d8
- e69c7ea1301e8d723f775ee911900fbf7caf8dcd9c85728f178f0703c4e6c5c0
- e77b7ec4ace252d37956d6a68663692e6bde90cdbbb07c1b8990bfaa311ecfb2
- f54fccb26a6f65de0d0e09324c84e8d85e7549d4d04e0aa81e4c7b1ae2f3c0f8
- f8a1c69c03002222980963a5d50ab9257bc4a1f2f486c3e7912d75558432be88
- ffeacef025ef32ad092eea4761e4eec3c96d4ac46682a0ae15c9303b5c654e3e
