Иранские хакеры используют фальшивые предложения работы для взлома критически важных отраслей Европы
Группа иранских хакеров, известная как Nimbus Manticore, расширяет свою деятельность, сосредоточившись на крупных компаниях по всей Европе. Согласно новому исследованию компании Check Point Research (CPR), специализирующейся на кибербезопасности, группа атакует компании оборонного, телекоммуникационного и аэрокосмического секторов с целью кражи конфиденциальной информации.
«Нимбус Мантикора», также известный как UNC1549 или «Дымовая песчаная буря», активно отслеживается с начала 2025 года и ранее проводил кампанию «Работа иранской мечты». Эти кампании соответствуют стратегическим целям иранского КСИР по сбору разведывательной информации, особенно в периоды обострения геополитической напряжённости.
Атака начинается с поддельного электронного письма с приглашением на вакансию. Это письмо, выглядящее очень реалистично, перенаправляет жертв на мошеннический веб-сайт, созданный с использованием шаблона React, имитирующего такие известные компании, как Boeing , Airbus и flydubai .
Чтобы создать видимость подлинности, каждый пользователь получает уникальный логин и пароль для доступа к сайту. Эти сайты, посвящённые карьере, зарегистрированы в Cloudflare , чтобы скрыть истинное местоположение сервера. После входа в систему жертв обманным путём заставляют загрузить вредоносный файл. Этот файл запускает сложную цепочку действий, направленных на заражение компьютера.
Как показано на схеме исследования CPR, загруженный файл, представляющий собой сжатый ZIP-архив, содержит внешне легитимную программу ( setup.exe ). Эта программа затем тайно устанавливает и запускает другие вредоносные файлы, включая бэкдор, чтобы получить контроль над системой и связаться с серверами злоумышленников.
В загруженный файл хакеры помещают специальную вредоносную программу, представляющую собой усовершенствованный вариант старой вредоносной программы Minibike (также известной как SlugResin). Недавняя активность демонстрирует «значительный скачок в сложности» с появлением новой версии MiniJunk, демонстрирующей попытки группировки избежать обнаружения. Другой инструмент, MiniBrowse, предназначен для незаметной кражи важных данных, таких как пароли.
Хотя группировка Nimbus Manticore ранее последовательно ориентировалась на Ближний Восток , в частности, на Израиль и ОАЭ, её новый акцент на Европу является важным событием. Исследователи отметили, что группировка проявляла активность в таких странах, как Дания, Швеция и Португалия.
В отчёте также отмечается, что используется параллельная, более простая кампания: злоумышленники выдают себя за специалистов по подбору персонала и, вероятно, связываются с жертвами на таких платформах, как LinkedIn, прежде чем перевести общение по электронной почте. Этот отдельный вид активности, о котором ранее сообщала другая компания, PRODAFT, также использует фишинг с менее сложным набором инструментов, но с той же целью — кражей доступа.
Хотя Check Point Research продолжит отслеживать деятельность группировки, компания полагает, что компании необходимо защищать от подобных атак с самого начала, еще до того, как поддельные электронные письма или вредоносные файлы попадут к сотрудникам.
HackRead
