Группа хакеров провела серию кибератак на аэрокосмическую отрасль Израиля и Объединенных Арабских Эмиратов, используя поддельные профили рекрутеров на платформе LinkedIn. Источник: The Record
Эксперты из израильской компании по кибербезопасности ClearSky приписали атаку иранской кибергруппе TA455, также известной как Charming Kitten, которая, вероятно, действует в интересах иранских государственных структур.
Хакеры выдавали себя за сотрудников кадровых агентств, чтобы взаимодействовать с жертвами и распространить вредоносные файлы через казалось бы легитимные рекрутинговые документы. В ходе этой кампании, которая началась в сентябре 2023 года, они использовали поддельные сайты для набора персонала и профили LinkedIn, чтобы передать вредоносное ПО, включая SnailResin, запускающее бэкдор SlugResin. Эти программы ранее уже приписывались группе Charming Kitten.
Эксперты отмечают, что использование поддельных рекрутеров для атак типично для северокорейских хакеров, таких как группы Kimsuky и Lazarus. В новой атаке, как предполагают исследователи, иранские хакеры либо намеренно использовали северокорейские методы для маскировки, либо делились инструментами с хакерами из Северной Кореи.
Согласно отчету ClearSky, активность этой группы ранее была зафиксирована не только на Ближнем Востоке, но и в Восточной Европе, что, вероятно, связано с нарастающей геополитической напряженностью в регионе. В 2023 году иранские хакеры также нацеливались на авиационную и оборонную отрасли Турции, Индии и Албании, что свидетельствует о масштабах их шпионской деятельности.
Хакеры из TA455 проявляют изобретательность, обходя существующие меры безопасности. В последней атаке они использовали легитимные онлайн-сервисы, такие как Cloudflare и GitHub, чтобы замаскировать свою инфраструктуру, что затрудняет обнаружение. Эксперты ClearSky также подчеркивают, что использование поддельных профилей рекрутеров на доверенных платформах вроде LinkedIn повышает вероятность взаимодействия жертв с вредоносными ссылками, что делает такие атаки особенно опасными.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet