Hakerzy Atakują Przemysł Lotniczy i Kosmiczny za Pomocą Fałszywych Ofert Pracy i Ukrytego Malware’u

Niedawna kampania cybernetyczna, znana jako „Iranian Dream Job”, kieruje się do pracowników sektora lotnictwa, kosmonautyki i obrony, obiecując atrakcyjne oferty pracy.

Firma specjalizująca się w cyberbezpieczeństwie ClearSky ujawniła, że za tą kampanią stoi grupa związana z irańską organizacją hakerską znaną jako „Charming Kitten” (nazywaną również APT35).

Celem kampanii jest infiltracja wybranych firm i kradzież poufnych informacji poprzez nakłonienie osób do pobrania złośliwego oprogramowania ukrytego jako materiały związane z pracą.

ClearSky twierdzi, że oszustwo „Dream Job” polega na fałszywych profilach rekruterów na LinkedIn, często wykorzystujących fikcyjne firmy, aby zwabić ofiary do pobrania złośliwego oprogramowania. Wspomniane złośliwe oprogramowanie, zwane SnailResin, infekuje komputer ofiary, umożliwiając hakerom gromadzenie poufnych danych i monitorowanie działań w sieci.

ClearSky zauważa, że ci hakerzy udoskonalili swoje techniki, takie jak korzystanie z prawdziwych usług chmurowych, takich jak Cloudflare i GitHub, aby ukryć złośliwe linki, co utrudnia ich wykrycie.

Co ciekawe, irańscy hakerzy przyjęli taktyki z Korei Północnej grupy Lazarus, która wprowadziła oszustwo „Dream Job” w 2020 roku. Poprzez naśladowanie podejścia Lazarusa, irańscy hakerzy wprowadzają w błąd śledczych, co utrudnia im śledzenie ataków do ich źródeł.

ClearSky wyjaśnia, że atak wykorzystuje metodę nazywaną „DLL side-loading”, która pozwala malware’owi infiltrować się do komputera, udając prawdziwy plik oprogramowania. Ta technika, wraz z użyciem zaszyfrowanych plików i skomplikowanego kodowania, pomaga hakerom ominąć powszechne środki bezpieczeństwa.

Według ClearSky, malware z powodzeniem omija wiele programów antywirusowych, z tylko kilkoma narzędziami bezpieczeństwa zdolnymi do jego identyfikacji. Od września 2023 r. irańska kampania „Dream Job” adaptowała się i ewoluowała, regularnie aktualizując swoje taktyki i malware, aby zawsze być o krok przed obroną cyberbezpieczeństwa, mówi ClearSky.

Główne firmy zajmujące się cyberbezpieczeństwem, w tym Mandiant, wykryły jego aktywność w różnych krajach, zwłaszcza na Bliskim Wschodzie – zauważa ClearSky. Podkreślają jego wytrwałość i zaawansowanie, zaznaczając, że struktura kampanii często ulega zmianom, co czyni go stałym zagrożeniem dla atakowanych branż.

ClearSky ostrzega, że organizacje działające w sektorach lotnictwa, obrony i podobnych sektorach o wysokich stawkach powinny zachować czujność i przyjąć proaktywne środki do zwalczania tego typu ataków.

Edukując pracowników na temat ryzyka związanego z phishingiem i fałszywymi ofertami pracy oraz implementując solidne protokoły bezpieczeństwa, firmy mogą pomóc zmniejszyć podatność na te wysoce zwodnicze cyberzagrożenia.