Aktor ancaman Iran yang dikenal sebagai TA455 terlihat memanfaatkan pedoman kelompok peretas Korea Utara untuk mengatur versi mereka sendiri dari kampanye Pekerjaan Impian yang menargetkan industri dirgantara dengan menawarkan pekerjaan palsu setidaknya sejak September 2023.
“Kampanye tersebut mendistribusikan malware SnailResin, yang mengaktifkan pintu belakang SlugResin,” kata perusahaan keamanan siber Israel ClearSky dalam analisisnya pada hari Selasa.
TA455, juga dilacak oleh Mandiant milik Google sebagai UNC1549 dan Yellow Dev 13, dinilai sebagai sub-cluster dalam APT35, yang dikenal dengan nama CALANQUE, Charming Kitten, CharmingCypress, ITG18, Mint Sandstorm (sebelumnya Phosphorus), Newscaster , TA453, dan Garuda Kuning.
Berafiliasi dengan Korps Garda Revolusi Islam (IRGC) Iran, kelompok ini dikatakan berbagi taktik yang tumpang tindih dengan kelompok yang disebut sebagai Smoke Sandstorm (sebelumnya Bohrium) dan Crimson Sandstorm (sebelumnya Curium).
Awal bulan Februari ini, kelompok yang bermusuhan ini dianggap berada di balik serangkaian kampanye yang sangat bertarget yang ditujukan pada industri kedirgantaraan, penerbangan, dan pertahanan di Timur Tengah, termasuk Israel, UEA, Turki, India, dan Albania.
Serangan tersebut melibatkan penggunaan taktik rekayasa sosial yang menggunakan umpan terkait pekerjaan untuk mengirimkan dua pintu belakang yang disebut MINIBIKE dan MINIBUS. Perusahaan keamanan perusahaan Proofpoint mengatakan pihaknya juga mengamati “TA455 menggunakan perusahaan depan untuk terlibat secara profesional dengan target yang diinginkan melalui halaman Hubungi Kami atau permintaan penjualan.”
Meski begitu, ini bukan pertama kalinya pelaku ancaman memanfaatkan umpan bertema pekerjaan dalam kampanye serangannya. Dalam laporan “Ancaman Siber 2022: Setahun dalam Retrospeksi”, PwC mengatakan pihaknya mendeteksi aktivitas bermotif spionase yang dilakukan oleh TA455, di mana para penyerang menyamar sebagai perekrut untuk perusahaan nyata atau fiktif di berbagai platform media sosial.
“Yellow Dev 13 menggunakan berbagai foto yang dihasilkan oleh kecerdasan buatan (AI) untuk personanya dan meniru setidaknya satu individu nyata untuk operasinya,” kata perusahaan itu.
ClearSky mengatakan pihaknya mengidentifikasi beberapa kesamaan antara dua kampanye Pekerjaan Impian yang dilakukan oleh Lazarus Group dan TA455, termasuk penggunaan umpan peluang kerja dan pemuatan samping DLL untuk menyebarkan malware.
Hal ini meningkatkan kemungkinan bahwa kelompok tersebut sengaja meniru keahlian kelompok peretas Korea Utara untuk mengacaukan upaya atribusi, atau adanya semacam berbagi alat.
Rantai serangan ini memanfaatkan situs perekrutan palsu (“careers2find[.]com”) dan profil LinkedIn untuk mendistribusikan arsip ZIP, yang, di antara file lainnya, berisi file yang dapat dieksekusi (“SignedConnection.exe”) dan file DLL berbahaya (“secur32.dll”) yang dipindahkan saat file EXE dijalankan.
Menurut Microsoft, secur32.dll adalah pemuat trojan bernama SnailResin yang bertanggung jawab untuk memuat SlugResin, versi terbaru dari pintu belakang BassBreaker yang memberikan akses jarak jauh ke mesin yang disusupi, secara efektif memungkinkan pelaku ancaman menyebarkan malware tambahan, mencuri kredensial, meningkatkan hak istimewa. , dan berpindah secara lateral ke perangkat lain di jaringan.
Serangan ini juga ditandai dengan penggunaan GitHub sebagai pemecah masalah dengan mengkodekan server perintah-dan-kontrol sebenarnya dalam repositori, sehingga memungkinkan musuh mengaburkan operasi berbahaya mereka dan berbaur dengan lalu lintas yang sah.
“TA455 menggunakan proses infeksi multi-tahap yang dirancang dengan cermat untuk meningkatkan peluang keberhasilan sekaligus meminimalkan deteksi,” kata ClearSky.
“Email spear-phishing awal kemungkinan berisi lampiran berbahaya yang disamarkan sebagai dokumen terkait pekerjaan, yang selanjutnya disembunyikan dalam file ZIP yang berisi campuran file sah dan berbahaya. Pendekatan berlapis ini bertujuan untuk melewati pemindaian keamanan dan mengelabui korban agar mengeksekusi malware tersebut. “