Nhóm tấn công mạng APT của Iran nhắm vào công ty hàng không và phần mềm với công cụ mới

Nhóm mối đe dọa liên tục tiên tiến (APT) của Iran được theo dõi dưới tên Nimbus Manticore đã áp dụng các chiến thuật mới và cập nhật kho vũ khí trong các cuộc xâm nhập nhắm vào các công ty hàng không và phần mềm, theo báo cáo mới đây của Check Point.

Còn được biết đến với các cái tên Bohrium, Smoke Sandstorm, TA455 và UNC1549, Nimbus Manticore hoạt động ít nhất từ năm 2022. Được coi là một nhóm con của Charming Kitten (APT35), tổ chức này được cho rằng có mối liên hệ với Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC).

Iran Cyberattacks

Sự thay đổi trong chiến thuật tấn công

Trước đây, Nimbus Manticore thường nhắm vào các tổ chức hàng không vũ trụ, hàng không dân dụng và quốc phòng tại Trung Đông và Châu Âu bằng các backdoor MiniBike và MiniBus. Tuy nhiên, trước bối cảnh địa chính trị căng thẳng tại Trung Đông, nhóm này đã chuyển hướng sang kỹ thuật AppDomain hijacking (chiếm quyền AppDomain) để thực thi payload độc hại thay vì sử dụng kỹ thuật DLL sideloading như trước.

Kỹ thuật mới này dựa vào việc sử dụng một tệp cấu hình XML bị độc hại (trojanized) được đặt trong thư mục của ứng dụng .NET đích. Khi ứng dụng khởi động, tệp này sẽ tải một DLL độc hại.

Chiến dịch lừa đảo qua email (Phishing)

Trong một chiến dịch gần đây, Nimbus Manticore đã sử dụng mồi nhữ lừa đảo tương tự các chiến dịch trước, nhắm vào nhân viên của các công ty hàng không và phần mềm tại Ả Rập Xê Út và Úc. Nạn nhân bị dụ tải xuống tệp nén ZIP từ nền tảng OnlyOffice, dẫn đến việc nhiễm loại backdoor mới có tên MiniJunk.

Security

Trong một chiến dịch khác, nhóm APT này đã sử dụng mồi nhữ liên quan đến việc tuyển dụng, giả danh một hãng hàng không của Mỹ. Quá trình lây nhiễm bắt đầu từ một trình cài đặt Zoom bị đánh cắp (trojanized). Sử dụng kỹ thuật AppDomain hijacking, chuỗi lây nhiễm này dẫn đến việc triển khai một backdoor mới được đặt tên là MiniFast.

Khả năng của backdoor MiniFast

Được triển khai dưới dạng tệp DLL Windows PE 64-bit, backdoor MiniFast giả dạng trình duyệt Chrome và được thiết kế để duy trì sự tồn tại lâu dài trên hệ thống cũng như thực thi lệnh từ xa.

Tác giả của phần mềm độc hại này có thể sử dụng MiniFast để thao tác tệp, đánh cắp dữ liệu (exfiltrate), liệt kê và chấm dứt tiến trình, thao tác thư mục, tạo các tác vụ lập lịch và triển khai các payload bổ sung.

Sự hỗ trợ từ công nghệ AI

Check Point nhận định rằng: "Nimbus Manticore đã chứng minh khả năng thích ứng nhanh chóng, duy trì cơ sở hạ tầng và phát triển các công cụ mới một cách mạnh mẽ. Chúng tôi đánh giá rằng khả năng này có khả năng đã được hỗ trợ, ít nhất một phần, bởi các công cụ dựa trên LLM và kỹ thuật phát triển được hỗ trợ bởi AI."

Vào tháng 4, nhóm này cũng được phát hiện sử dụng một trang web giả mạo tải xuống SQL Developer để phân phối backdoor MiniFast. Chiến dịch này đã lạm dụng các kỹ thuật tối ưu hóa công cụ tìm kiếm (SEO), sử dụng hàng chục tên miền trỏ về trang web độc hại để tăng độ uy tín, khiến nó xếp hạng cao trên các kết quả tìm kiếm của Bing và DuckDuckGo.

Mở rộng mục tiêu sang Mỹ

Mặc dù các hoạt động điển hình của Nimbus Manticore thường tập trung vào Trung Đông, Châu Âu và Châu Phi, chủ yếu nhắm vào Israel và Các Tiểu vương quốc Ả Rập Thống nhất, các chiến dịch mới nhất cho thấy sự dịch chuyển mục tiêu sang các tổ chức tại Mỹ.

Việc sử dụng các cổng thông tin tuyển dụng giả mạo các công ty hàng không, cụ thể là các hãng hàng không nội địa của Mỹ, cho thấy một sự tập trung có chủ đích vào các mục tiêu đặt tại nước này.