Иранская хакерская группа атакует европейские телеком-компании через фиктивные предложения работы в LinkedIn

Группа, также известная как UNC1549 и связанная с кластером Unyielding Wasp (Tortoiseshell) из сети Eclipsed Wasp (Charming Kitten), действует с июня 2022 года. В последней кампании операторы представлялись HR-специалистами реальных компаний, предлагая целевым сотрудникам заманчивые вакансии. После установления контакта они направляли жертв на фишинговые сайты, где те загружали вредоносные ZIP-архивы с подписанными цифровыми сертификатами файлами.

Основным инструментом атаки стал вариант бэкдора MINIBIKE, который загружается через технику DLL sideloading - подмены легитимных библиотек в доверенных процессах. Для обхода систем защиты злоумышленники использовали облачную инфраструктуру Azure, маскируя трафик командования и управления (C2) под легитимные облачные коммуникации.

Особенностью кампании стала низкая детектируемость на начальном этапе: большинство антивирусных решений не распознавали вредоносные образцы из-за многоуровневой обфускации и использования валидных цифровых подписей от компании Insight Digital B.V. из Нидерландов.

Техника атаки включала несколько этапов. Сначала проводилась разведка (Reconnaissance) для идентификации ключевых сотрудников с привилегированным доступом через LinkedIn и другие профессиональные платформы. Затем создавались поддельные домены вида *-careers.com (например, telespazio-careers.com), на которых размещались фиктивные страницы карьерных возможностей.

На этапе выполнения (Execution) жертвы запускали подписанный setup.exe, который загружал вредоносную DLL через механизм подмены библиотек. Бэкдор затем получал команды от C2-серверов в Azure, используя HTTP-запросы с пользовательским агентом "WinHTTP Example/1.0".

Для сохранения устойчивости (Persistence) группа использовала модификации реестра Windows в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion, обеспечивая автоматическую загрузку бэкдора при запуске системы.

Операторы применяли несколько модулей для сбора данных: кейлоггер для перехвата ввода, стилер браузерных данных для извлечения учётных данных из Chrome, Edge и Brave, а также модуль для кражи учётных записей Outlook через фиктивные окна авторизации.

Эксфильтрация данных осуществлялась через каналы C2 с использованием chunked-передачи, что позволяло разделять большие файлы на части и маскировать передачу под легитимный трафик. Приоритет отдавался корпоративной документации, конфигурациям сетей, исходным кодам и личным данным сотрудников, включая сканы паспортов и виз.

Эксперты отмечают беспрецедентный уровень сложности иранских операций по кибершпионажу против европейских телекоммуникационных компаний. Успешное проникновение в 11 организаций демонстрирует растущие возможности государственных злоумышленников, нацеленных на критически важную инфраструктуру.

MD5

• 25d3a014c332aaa3adce429d0e714e31
• 424f887f651371aa3058cf7c8e908d2a
• 63080b45ca4978fb5d2d71387dbaf610
• 67e09818d1aa650896a432b1de54d376
• 7d887893a6107d7ae902e6771f30e080
• 8db7338c487143a4d43ed1a22fec49a7
• a933c623e3b047292efd55e0e424c732
• b40533e67e70b7ff7bb53d34a4b9170e

SHA1

• e8520f70af1114d89e8e26e9acab603c84ead981

SHA256

• 0e4ff052250ade1edaab87de194e87a9afeff903695799bcbc3571918b131100