Se ha observado que el actor de amenazas iraní conocido como TA455 sigue el manual de un grupo de hackers norcoreano para orquestar su propia versión de la campaña Dream Job dirigida a la industria aeroespacial ofreciendo trabajos falsos desde al menos septiembre de 2023.
“La campaña distribuyó el malware SnailResin, que activa la puerta trasera SlugResin”, dijo la empresa israelí de ciberseguridad ClearSky en un análisis del martes.
TA455, también rastreado por Mandiant, propiedad de Google, como UNC1549 y por PwC como Yellow Dev 13, se considera un subgrupo dentro de APT35, conocido con los nombres CALANQUE, Charming Kitten, CharmingCypress, ITG18, Mint Sandstorm (anteriormente Phosphorus ), Presentador de noticias, TA453 y Yellow Garuda.
Afiliado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), se dice que el grupo comparte superposiciones tácticas con grupos denominados Smoke Sandstorm (anteriormente Bohrium) y Crimson Sandstorm (anteriormente Curium).
A principios de febrero, se atribuyó al colectivo adversario estar detrás de una serie de campañas muy específicas dirigidas a las industrias aeroespacial, de aviación y de defensa en el Medio Oriente, incluidos Israel, los Emiratos Árabes Unidos, Turquía, India y Albania.
Los ataques implican el uso de tácticas de ingeniería social que emplean señuelos relacionados con el trabajo para generar dos puertas traseras denominadas MINIBIKE y MINIBUS. La firma de seguridad empresarial Proofpoint dijo que también ha observado que “TA455 utiliza empresas fachada para interactuar profesionalmente con objetivos de interés a través de una página de Contáctenos o una solicitud de ventas”.
Dicho esto, esta no es la primera vez que el actor de amenazas aprovecha señuelos con temas laborales en sus campañas de ataque. En su informe “Amenazas cibernéticas 2022: un año en retrospectiva”, PwC dijo que detectó una actividad motivada por espionaje realizada por TA455, en la que los atacantes se hicieron pasar por reclutadores de empresas reales o ficticias en varias plataformas de redes sociales.
“Yellow Dev 13 utilizó una variedad de fotografías generadas por inteligencia artificial (IA) para sus personajes y se hizo pasar por al menos un individuo real para sus operaciones”, señaló la compañía.
ClearSky dijo que identificó varias similitudes entre las dos campañas Dream Job realizadas por Lazarus Group y TA455, incluido el uso de señuelos de oportunidades laborales y carga lateral de DLL para implementar malware.
Esto ha planteado la posibilidad de que este último esté copiando deliberadamente el arte del grupo de hackers norcoreano para confundir los esfuerzos de atribución, o que exista algún tipo de intercambio de herramientas.
Las cadenas de ataque utilizan sitios web de reclutamiento falsos (“careers2find(.)com”) y perfiles de LinkedIn para distribuir un archivo ZIP que, entre otros archivos, contiene un ejecutable (“SignedConnection.exe”) y un archivo DLL malicioso (” secur32.dll”) que se descarga cuando se ejecuta el archivo EXE.
Los actores de amenazas también proporcionan una guía detallada en PDF a sus víctimas para instruirlas sobre cómo descargar de forma segura el archivo ZIP del sitio falso de ofertas de trabajo e iniciar la aplicación.
Según Microsoft, secur32.dll es un cargador de troyanos llamado SnailResin que es responsable de cargar SlugResin, una versión actualizada de la puerta trasera BassBreaker que otorga acceso remoto a una máquina comprometida, lo que permite efectivamente a los actores de amenazas implementar malware adicional, robar credenciales y escalar privilegios. y moverse lateralmente a otros dispositivos en la red.
Los ataques también se caracterizan por el uso de GitHub como un sistema de resolución muerta al codificar el servidor de comando y control real dentro de un repositorio, lo que permite al adversario ocultar sus operaciones maliciosas y mezclarse con el tráfico legítimo.
“TA455 utiliza un proceso de infección de múltiples etapas cuidadosamente diseñado para aumentar sus posibilidades de éxito y minimizar la detección”, dijo ClearSky.
“Los correos electrónicos iniciales de phishing probablemente contengan archivos adjuntos maliciosos disfrazados de documentos relacionados con el trabajo, que luego se ocultan dentro de archivos ZIP que contienen una combinación de archivos legítimos y maliciosos. Este enfoque en capas tiene como objetivo eludir los análisis de seguridad y engañar a las víctimas para que ejecuten el malware. “