С июня 2022 года иранская хакерская группа Subtle Snail незаметно проникает в телекоммуникационные, аэрокосмические и оборонные организации Европы. За последнюю неделю злоумышленники заразили 34 устройства в 11 компаниях. Главный вектор атаки - поддельные предложения о работе в LinkedIn, которые выглядят настолько правдоподобно, что жертвы сами скачивают вредоносные файлы. Это не просто случайные инциденты, а хорошо спланированная кампания по кибершпионажу.
Описание
Группа Subtle Snail связана с более известными иранскими кластерами Unyielding Wasp и Eclipsed Wasp (ранее Charming Kitten). Основная цель - сбор разведывательных данных: переписка топ-менеджеров, конфигурации сетей, базы данных абонентов, а также документы с личной информацией сотрудников, включая паспорта и визы. Атаки нацелены на долгосрочное закрепление в системе, чтобы выкачивать секреты годами.
Всё начинается с разведки. Хакеры изучают профили LinkedIn сотрудников целевых компаний, выявляя администраторов, разработчиков и ИТ-специалистов с доступом к критическим системам. Затем они создают фальшивые аккаунты от имени HR-отделов настоящих фирм. Например, для имитации компаний Telespazio и Safran Group злоумышленники приобрели домены telespazio-careers.com и safrangroup-careers.com. Жертве приходит письмо с темой "Job Application" и ссылкой на сайт, где нужно заполнить анкету и выбрать дату собеседования. После выбора даты сайт автоматически скачивает ZIP-архив - якобы с материалами для трудоустройства. Внутри лежит легитимно подписанный исполняемый файл (например, setup.exe) и DLL с именем стандартной библиотеки Windows - dxgi.dll, umpdc.dll или dwrite.dll. При запуске setup.exe Windows загружает вредоносную DLL из той же папки, минуя системную папку System32. Это называется DLL-подгрузка (DLL sideloading) - один из самых эффективных методов обхода антивирусов.
Исследователи обнаружили, что для подписи вредоносных DLL группа использует сертификаты, приобретённые у SSL.com через нидерландскую компанию Insight Digital B.V. Это делает файлы внешне доверенными. Каждый DLL создаётся индивидуально для конкретной жертвы и конкретной задачи. В одной кампании злоумышленники применяют модули для разных целей: dxgi.dll - основной бэкдор (вариант MINIBIKE), dwrite.dll - кейлоггер, iumbase.dll - похититель учётных данных из Outlook и браузеров, wininet.dll - проверщик доменных имён. Все эти DLL загружаются через легитимные исполняемые файлы системы: DataExchangeHost.exe, LockAppHost.exe, BioIso.exe и другие.
Бэкдор MINIBIKE - ключевой инструмент группы. Он связывается с сервером управления и контроля (C2) через Azure, используя поддомены вида group-policy-update.azurewebsites.net. Трафик выглядит как обычный HTTPS-запросы к облаку, что помогает избежать обнаружения. Бэкдор поддерживает 13 команд: от получения имени компьютера до удаления файлов и выполнения произвольного кода. Для маскировки используется XOR-шифрование строк и техника выравнивания потока управления (Control Flow Flattening), которая делает обратную разработку чрезвычайно сложной. Каждый DLL проверяет, каким процессом он загружен, - если запустить его через rundll32, выполнение прекращается. Это защита от песочниц.
После заражения хакеры получают доступ к панели управления, где видят полную информацию об устройстве, могут бродить по файловой системе, выполнять команды и выгружать данные. Все ключевые операции - кражу паролей, перехват нажатий клавиш, сбор файлов - злоумышленники проводят вручную через эту панель. Например, они запускают WinRAR для упаковки PST-файлов Outlook с разделением на тома по 1 ГБ. Затем эти архивы выгружаются на C2 небольшими фрагментами по 1-5 МБ, чтобы не вызывать подозрений у систем контроля трафика.
Особую опасность представляет то, что группа не просто ворует корпоративную информацию, но и собирает личные данные сотрудников: паспорта, идентификационные документы, личные фотографии. В некоторых случаях жертвы хранили на рабочих устройствах служебные документы с предыдущих мест работы, что расширяет зону компрометации. Утечка такой информации может иметь долгосрочные последствия для национальной безопасности стран Европы.
Вывод неутешителен: иранские кибершпионы вышли на новый уровень автоматизации и скрытности. Их кампании длятся годами, а вредоносное ПО постоянно эволюционирует. Европейским телекоммуникационным компаниям следует усилить мониторинг необычных предложений о работе от имени своих HR-отделов, блокировать подозрительные домены с шаблоном *-careers.com и проверять сертификаты подписи всех исполняемых файлов, загружаемых сотрудниками. Без таких мер риски утечки критической инфраструктуры будут только расти.
Индикаторы компрометации
MD5
- 25d3a014c332aaa3adce429d0e714e31
- 424f887f651371aa3058cf7c8e908d2a
- 63080b45ca4978fb5d2d71387dbaf610
- 67e09818d1aa650896a432b1de54d376
- 7d887893a6107d7ae902e6771f30e080
- 8db7338c487143a4d43ed1a22fec49a7
- a933c623e3b047292efd55e0e424c732
- b40533e67e70b7ff7bb53d34a4b9170e