Iraanse hackers gebruiken ‘droomjob’-lokmiddelen om SnailResin-malware in te zetten bij lucht- en ruimtevaartaanvallen

Er is waargenomen dat de Iraanse bedreigingsacteur, bekend als TA455, een blad uit het speelboek van een Noord-Koreaanse hackgroep haalt om zijn eigen versie van de Dream Job-campagne, gericht op de lucht- en ruimtevaartindustrie, te orkestreren door nepbanen aan te bieden, sinds ten minste september 2023.

“De campagne verspreidde de SnailResin-malware, die de SlugResin-achterdeur activeert”, zei het Israëlische cyberbeveiligingsbedrijf ClearSky in een analyse van dinsdag.

TA455, ook gevolgd door Mandiant, eigendom van Google als UNC1549 en Yellow Dev 13, wordt beschouwd als een subcluster binnen APT35, dat bekend staat onder de namen CALANQUE, Charming Kitten, CharmingCypress, ITG18, Mint Sandstorm (voorheen Phosphorus), Newscaster , TA453 en Gele Garuda.

De groep is aangesloten bij de Iraanse Islamitische Revolutionaire Garde (IRGC) en zou tactische overlappingen delen met clusters die Smoke Sandstorm (voorheen Bohrium) en Crimson Sandstorm (voorheen Curium) worden genoemd.

Eerder deze februari werd het vijandige collectief toegeschreven als de drijvende kracht achter een reeks zeer gerichte campagnes gericht op de lucht- en ruimtevaart-, luchtvaart- en defensie-industrie in het Midden-Oosten, waaronder Israël, de VAE, Turkije, India en Albanië.

Bij de aanvallen wordt gebruik gemaakt van social engineering-tactieken waarbij gebruik wordt gemaakt van werkgerelateerd kunstaas om twee achterdeurtjes te creëren, genaamd MINIBIKE en MINIBUS. Bedrijfsbeveiligingsbedrijf Proofpoint zei dat het ook heeft waargenomen dat “TA455 dekmantelbedrijven gebruikt om op professionele wijze in contact te komen met interessante doelwitten via een contactpagina of een verkoopverzoek.”

Dat gezegd hebbende, is dit niet de eerste keer dat de bedreigingsacteur in zijn aanvalscampagnes gebruik maakt van lokvogels met een banenthema. In haar rapport ‘Cyber ​​Threats 2022: A Year in Retrospect’ zegt PwC dat het een door spionage gemotiveerde activiteit van TA455 heeft ontdekt, waarbij de aanvallers zich op verschillende sociale mediaplatforms voordeden als recruiters voor echte of fictieve bedrijven.

“Yellow Dev 13 gebruikte een verscheidenheid aan door kunstmatige intelligentie (AI) gegenereerde foto’s voor zijn persona’s en imiteerde ten minste één echt individu voor zijn activiteiten”, merkte het bedrijf op.

ClearSky zei dat het verschillende overeenkomsten heeft geïdentificeerd tussen de twee Dream Job-campagnes van de Lazarus Group en TA455, waaronder het gebruik van lokaas voor vacatures en het side-loaden van DLL om malware te implementeren.

Dit heeft de mogelijkheid doen ontstaan ​​dat laatstgenoemde óf opzettelijk het vakmanschap van de Noord-Koreaanse hackgroep kopieert om de attributie-inspanningen te verwarren, óf dat er een soort van gedeelde tools bestaat.

De aanvalsketens maken gebruik van valse rekruteringswebsites (“careers2find(.)com”) en LinkedIn-profielen om een ​​ZIP-archief te verspreiden, dat onder meer een uitvoerbaar bestand (“SignedConnection.exe”) en een kwaadaardig DLL-bestand (“SignedConnection.exe”) bevat. secur32.dll”) dat sideloaded wordt wanneer het EXE-bestand wordt uitgevoerd.

Volgens Microsoft is secur32.dll een trojan-lader genaamd SnailResin die verantwoordelijk is voor het laden van SlugResin, een bijgewerkte versie van de BassBreaker-achterdeur die externe toegang verleent tot een gecompromitteerde machine, waardoor de bedreigingsactoren effectief extra malware kunnen inzetten, inloggegevens kunnen stelen en rechten kunnen escaleren en zijdelings naar andere apparaten in het netwerk gaan.

De aanvallen worden ook gekenmerkt door het gebruik van GitHub als dead drop-resolver door de eigenlijke command-and-control-server in een repository te coderen, waardoor de tegenstander zijn kwaadaardige activiteiten kan verdoezelen en zich kan mengen in legitiem verkeer.

“TA455 maakt gebruik van een zorgvuldig ontworpen meerfasig infectieproces om de kans op succes te vergroten en tegelijkertijd de detectie te minimaliseren”, aldus ClearSky.

“De eerste spearphishing-e-mails bevatten waarschijnlijk kwaadaardige bijlagen, vermomd als werkgerelateerde documenten, die verder verborgen zijn in ZIP-bestanden die een mix van legitieme en kwaadaardige bestanden bevatten. Deze gelaagde aanpak is bedoeld om beveiligingsscans te omzeilen en slachtoffers te misleiden om de malware uit te voeren. “

Thijs Van der Does