Хакерская группировка UNC1549, также известная как Subtle Snail и TA455, связанная с Корпусом стражей исламской революции (КСИР) Ирана, успешно скомпрометировала 34 устройства в 11 телекоммуникационных компаниях. Атаки затронули организации в Канаде, Франции, ОАЭ, Великобритании и США. Активность группы отслеживается как минимум с июня 2022 года и пересекается с деятельностью других иранских кибергрупп, таких как Smoke Sandstorm и Crimson Sandstorm.
Кампания кибершпионажа начинается с тщательной разведки на платформе LinkedIn. Злоумышленники выявляют ключевых сотрудников целевых компаний, уделяя особое внимание исследователям, разработчикам и системным администраторам, обладающим высоким уровнем доступа к корпоративным ресурсам. После идентификации целей на их адреса отправляются фишинговые письма для верификации и сбора дополнительной информации.
Центральным элементом атаки является создание убедительных поддельных профилей HR-специалистов на LinkedIn. От имени этих профилей хакеры связываются с жертвами, предлагая им фальшивые, но привлекательные вакансии. Процесс выстроен таким образом, чтобы методично выстроить доверительные отношения с целью, персонализируя каждое общение.
Когда жертва проявляет интерес к предложению, злоумышленники отправляют письмо для назначения «собеседования» и направляют кандидата на мошеннический веб-сайт. Эти сайты имитируют порталы реальных компаний, таких как Telespazio и Safran Group. Ввод любых данных на таком портале инициирует загрузку ZIP-архива, содержащего вредоносное программное обеспечение.
После распаковки архива запускается исполняемый файл, который использует технику DLL side-loading (загрузка через подмену DLL) для активации основного вредоносного компонента — бэкдора MINIBIKE. Эта вредоносная DLL является многофункциональным и модульным инструментом, который изначально собирает информацию о зараженной системе и ожидает дальнейших команд.
Бэкдор MINIBIKE способен загружать дополнительные модули в виде DLL-файлов Microsoft Visual C/C++. Эти модули расширяют его функциональность, позволяя проводить разведку, регистрировать нажатия клавиш и содержимое буфера обмена, похищать учетные данные из Microsoft Outlook, а также собирать данные из браузеров Google Chrome, Brave и Microsoft Edge. Для обхода защиты паролей в Chrome используется общедоступный инструмент
Для управления зараженными устройствами и сокрытия своей активности UNC1549 использует легитимные облачные сервисы Azure и виртуальные частные серверы (VPS) в качестве прокси. Командно-контрольная инфраструктура (C2) поддерживает 12 различных команд, включая управление файлами и процессами, загрузку файлов и запуск исполняемых файлов, DLL, BAT и CMD. Бэкдор обеспечивает свое постоянное присутствие в системе путем модификации реестра Windows и использует методы защиты от анализа, включая антиотладочные и анти-песочницы техники, а также сглаживание потока управления (Control Flow Flattening) для маскировки своего кода.
Расследование этой кампании было опубликовано швейцарской компанией по кибербезопасности PRODAFT. Группировка UNC1549 была впервые задокументирована компанией Mandiant в феврале 2024 года. Ранее, в сентябре 2023 года, израильская фирма ClearSky сообщала об атаках этой группы на аэрокосмическую отрасль с использованием вредоносных программ SnailResin и SlugResin.
Параллельно с этим, другая иранская группировка MuddyWater (также известная как Boggy Serpens, Mango Sandstorm, TA450), связанная с Министерством разведки и безопасности Ирана (MOIS), меняет свою тактику. Согласно отчету компании Group-IB, группа, активная с 2017 года, значительно сократила использование коммерческих инструментов удаленного мониторинга и управления (RMM) в пользу собственных разработок.
В арсенале MuddyWater появились новые инструменты: бэкдор BugSleep на Python (обнаружен в мае 2024 года), инжектор исполняемых файлов LiteInject (февраль 2025 года), многофункциональный бэкдор StealthCache (март 2025 года), загрузчик Fooder (март 2025 года) и вредонос Phoenix, используемый для развертывания упрощенной версии BugSleep (апрель 2025 года). При этом группа продолжает использовать свои старые инструменты, такие как CannonRat и UDPGangster.
Группа MuddyWater по-прежнему использует фишинг с вредоносными документами, содержащими макросы, в качестве основного вектора атак. Свою инфраструктуру злоумышленники размещают на сервисах Amazon Web Services (AWS) и скрывают за Cloudflare. Если исторически их целями были организации на Ближнем Востоке, то в последнее время наблюдается всплеск атак, нацеленных на Европу и США.
Изображение носит иллюстративный характер
Кампания кибершпионажа начинается с тщательной разведки на платформе LinkedIn. Злоумышленники выявляют ключевых сотрудников целевых компаний, уделяя особое внимание исследователям, разработчикам и системным администраторам, обладающим высоким уровнем доступа к корпоративным ресурсам. После идентификации целей на их адреса отправляются фишинговые письма для верификации и сбора дополнительной информации.
Центральным элементом атаки является создание убедительных поддельных профилей HR-специалистов на LinkedIn. От имени этих профилей хакеры связываются с жертвами, предлагая им фальшивые, но привлекательные вакансии. Процесс выстроен таким образом, чтобы методично выстроить доверительные отношения с целью, персонализируя каждое общение.
Когда жертва проявляет интерес к предложению, злоумышленники отправляют письмо для назначения «собеседования» и направляют кандидата на мошеннический веб-сайт. Эти сайты имитируют порталы реальных компаний, таких как Telespazio и Safran Group. Ввод любых данных на таком портале инициирует загрузку ZIP-архива, содержащего вредоносное программное обеспечение.
После распаковки архива запускается исполняемый файл, который использует технику DLL side-loading (загрузка через подмену DLL) для активации основного вредоносного компонента — бэкдора MINIBIKE. Эта вредоносная DLL является многофункциональным и модульным инструментом, который изначально собирает информацию о зараженной системе и ожидает дальнейших команд.
Бэкдор MINIBIKE способен загружать дополнительные модули в виде DLL-файлов Microsoft Visual C/C++. Эти модули расширяют его функциональность, позволяя проводить разведку, регистрировать нажатия клавиш и содержимое буфера обмена, похищать учетные данные из Microsoft Outlook, а также собирать данные из браузеров Google Chrome, Brave и Microsoft Edge. Для обхода защиты паролей в Chrome используется общедоступный инструмент
Chrome-App-Bound-Encryption-Decryption. Для управления зараженными устройствами и сокрытия своей активности UNC1549 использует легитимные облачные сервисы Azure и виртуальные частные серверы (VPS) в качестве прокси. Командно-контрольная инфраструктура (C2) поддерживает 12 различных команд, включая управление файлами и процессами, загрузку файлов и запуск исполняемых файлов, DLL, BAT и CMD. Бэкдор обеспечивает свое постоянное присутствие в системе путем модификации реестра Windows и использует методы защиты от анализа, включая антиотладочные и анти-песочницы техники, а также сглаживание потока управления (Control Flow Flattening) для маскировки своего кода.
Расследование этой кампании было опубликовано швейцарской компанией по кибербезопасности PRODAFT. Группировка UNC1549 была впервые задокументирована компанией Mandiant в феврале 2024 года. Ранее, в сентябре 2023 года, израильская фирма ClearSky сообщала об атаках этой группы на аэрокосмическую отрасль с использованием вредоносных программ SnailResin и SlugResin.
Параллельно с этим, другая иранская группировка MuddyWater (также известная как Boggy Serpens, Mango Sandstorm, TA450), связанная с Министерством разведки и безопасности Ирана (MOIS), меняет свою тактику. Согласно отчету компании Group-IB, группа, активная с 2017 года, значительно сократила использование коммерческих инструментов удаленного мониторинга и управления (RMM) в пользу собственных разработок.
В арсенале MuddyWater появились новые инструменты: бэкдор BugSleep на Python (обнаружен в мае 2024 года), инжектор исполняемых файлов LiteInject (февраль 2025 года), многофункциональный бэкдор StealthCache (март 2025 года), загрузчик Fooder (март 2025 года) и вредонос Phoenix, используемый для развертывания упрощенной версии BugSleep (апрель 2025 года). При этом группа продолжает использовать свои старые инструменты, такие как CannonRat и UDPGangster.
Группа MuddyWater по-прежнему использует фишинг с вредоносными документами, содержащими макросы, в качестве основного вектора атак. Свою инфраструктуру злоумышленники размещают на сервисах Amazon Web Services (AWS) и скрывают за Cloudflare. Если исторически их целями были организации на Ближнем Востоке, то в последнее время наблюдается всплеск атак, нацеленных на Европу и США.
