Группировка, предположительно связанная с Ираном, запустила целенаправленную фишинговую кампанию против критически важных объектов ОАЭ, охваченных авиационным, спутниковым и транспортным секторами, затрагивая менее пяти организаций. «Эта кампания, скорее всего, является работой ирански ориентированного противника, возможно, связанного с Корпусом стражей исламской революции», – сообщил Joshua Miller, исследователь угроз Proofpoint.
Атакующим удалось воспользоваться компрометированным почтовым ящиком индийской компании INDIC Electronics, с которой у целей существовало доверительное деловое сотрудничество. Использование этого канала позволило фишинговым письмам выглядеть легитимно и достичь нужных получателей.
Основой атаки стал ранее неизвестный бэкорад на языке Golang под кодовым названием Sosano. Функциональные возможности Sosano включают: sosano для получения или смены текущей директории, yangom для перечисления файлов, monday для загрузки следующего полезного груза, raian для удаления каталогов и lunna для выполнения команд оболочки, что обеспечивает ограниченное взаимодействие с сервером команд и управления.
Фишинговая инфраструктура кампании опиралась на URL-адреса, указывающие на фиктивный домен «indicelectronics[.]net». В письмах содержался вредоносный ZIP-архив, в котором использованы полиглот-файлы, способные проявлять различные функциональные характеристики в зависимости от используемых средств анализа.
Архив включал XLS-файл, на деле являющийся ярлыком Windows (LNK), замаскированным под документ Microsoft Excel с двойным расширением, а также два PDF-файла, функционирующих как полиглоты. Один из них был дополнен HTML-приложением (HTA), а другой – встроенным ZIP-архивом, что позволяло обойти традиционные методы проверки файлов.
Цепочка атаки начинается с использования LNK-файла для запуска cmd.exe, затем mshta.exe инициирует выполнение PDF/HTA полиглота. Полученный HTA-скрипт активирует распаковку архива внутри второго PDF, где интернет-ярлык направляет загрузку бинарного файла, который, обрабатывая XOR-строку «234567890abcdef», декодирует Sosano DLL.
Обнаружение кампании произошло в конце октября 2024 года благодаря аналитической работе Proofpoint, присвоившей угрозе внутреннее наименование «UNK_CraftyCamel». Особенность торгового стиля UNK_CraftyCamel заключается в отсутствии пересечений с известными группировками, что указывает на уникальные или специализированные методы атаки.
Сложность и изощренность данного кейса демонстрируют высокий уровень технической проработки злоумышленников, использующих обфускацию и доверенные деловые связи для обхода мер безопасности в секторах, критически важных для национальной безопасности и экономической стабильности региона.
Изображение носит иллюстративный характер
Атакующим удалось воспользоваться компрометированным почтовым ящиком индийской компании INDIC Electronics, с которой у целей существовало доверительное деловое сотрудничество. Использование этого канала позволило фишинговым письмам выглядеть легитимно и достичь нужных получателей.
Основой атаки стал ранее неизвестный бэкорад на языке Golang под кодовым названием Sosano. Функциональные возможности Sosano включают: sosano для получения или смены текущей директории, yangom для перечисления файлов, monday для загрузки следующего полезного груза, raian для удаления каталогов и lunna для выполнения команд оболочки, что обеспечивает ограниченное взаимодействие с сервером команд и управления.
Фишинговая инфраструктура кампании опиралась на URL-адреса, указывающие на фиктивный домен «indicelectronics[.]net». В письмах содержался вредоносный ZIP-архив, в котором использованы полиглот-файлы, способные проявлять различные функциональные характеристики в зависимости от используемых средств анализа.
Архив включал XLS-файл, на деле являющийся ярлыком Windows (LNK), замаскированным под документ Microsoft Excel с двойным расширением, а также два PDF-файла, функционирующих как полиглоты. Один из них был дополнен HTML-приложением (HTA), а другой – встроенным ZIP-архивом, что позволяло обойти традиционные методы проверки файлов.
Цепочка атаки начинается с использования LNK-файла для запуска cmd.exe, затем mshta.exe инициирует выполнение PDF/HTA полиглота. Полученный HTA-скрипт активирует распаковку архива внутри второго PDF, где интернет-ярлык направляет загрузку бинарного файла, который, обрабатывая XOR-строку «234567890abcdef», декодирует Sosano DLL.
Обнаружение кампании произошло в конце октября 2024 года благодаря аналитической работе Proofpoint, присвоившей угрозе внутреннее наименование «UNK_CraftyCamel». Особенность торгового стиля UNK_CraftyCamel заключается в отсутствии пересечений с известными группировками, что указывает на уникальные или специализированные методы атаки.
Сложность и изощренность данного кейса демонстрируют высокий уровень технической проработки злоумышленников, использующих обфускацию и доверенные деловые связи для обхода мер безопасности в секторах, критически важных для национальной безопасности и экономической стабильности региона.
