德黑兰诱使航空航天部门下载带有虚假工作机会的恶意软件
伊朗国家黑客正在借鉴朝鲜的策略,诱使求职者下载恶意软件,安全研究人员发现了德黑兰针对航空航天业的活动。
据网络安全公司 ClearSky 报道,自 2023 年 9 月以来,一名被追踪为 TA455、APT35 和 Charming Kitten 的威胁行为者一直在使用虚假的工作机会来引诱个人安装名为 SnailResin 的恶意软件。该活动依赖于 LinkedIn 上的虚假招聘人员和恶意域,例如 .careers2find.colm
威胁行为者不断修改虚假的招聘人员资料以使其看起来可信。LinkedIn 个人资料经过量身定制,看起来专业合法,通常与虚假公司相关联。
伊朗黑客与朝鲜的技术如此密切地复制——包括通过使用多个恶意文件通过 DLL 侧载攻击来部署恶意软件——以至于 ClearSky 表示,平壤可能分享了其攻击方法和工具。
朝鲜黑客因社会工程方法而臭名昭著,其中包括被多家威胁情报公司跟踪为“梦想工作行动”的活动,其中黑客伪装成招聘人员,以诱使受害者打开伪装成职位描述或技能评估的有效载荷(参见: 朝鲜黑客在 LinkedIn 中发现价值)。
伊朗黑客使用伪装成工作机会的恶意链接或附件来瞄准航空航天专业人士。
伊朗活动中使用的 SnailResin 恶意软件最初被标记为属于 Kimsuky 和 Lazarus 等朝鲜组织,这导致了对其真实来源的混淆。TA455 使用 Cloudflare 来伪装其命令和控制域,这使得跟踪活动的基础设施变得困难。通过在 GitHub 上对命令和控制数据进行编码,黑客能够以合法 Web 流量为幌子渗透网络。
该恶意软件嵌入在标记为工作相关文档的 ZIP 文件中,防病毒检测率较低。TA455 对 LinkedIn 等基于信任的平台的依赖帮助该组织绕过了可能检测可疑电子邮件或网站的传统安全措施。
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局