Nimbus Manticore koristi lažni portal za zapošljavanje u ciljanju na odbrambeni sektor
APT grupa Nimbus Manticore koristi sofisticirane lažne portale za zapošljavanje da dostavi prilagođeni malver zaposlenima u odbranskom sektoru.
Šta se desilo?
Naprednagrupacija povezana sa državom poznataSAPT Nimbus Manticore (poznata i kao UNC1549 i Smoke Sandstorm) vodi sofisticirane kampanje socijalne manipulacije preko lažnog portala za zapošljavanje. Napadači se predstavljaju kao regrutteri poznate kompanije Ebix i navlače ciljane korisnike da preuzmeu aplikaciju koja izgleda kao dvofaktorska autentifikacija, ali je zapravo prilagođeni malver. Čitava kampanja je dizajnirana da izgleda legitimno - od LinkedIn profila do interaktivnog lažnog interfejsa - čime se značajno smanjuje sumnja žrtve.
Koga pogađa?
Primarno su ugroženi profesionalci u sektoru aeronautike i odbrane, kao i zaposleni u IT, finansijskim i HR odeljenjima kompanija na bliskom istoku i u Evropi. Napadači posebno ciljaju stručnjake radnike sa visokim stručnim kvalifikacijama kroz LinkedIn i druge društvene mreže.
Kako se zaštititi?
- Blokirati pristup novootvorenim domenama, posebno u osetljivim odeljenjima (HR, finansije, pravni)
- Koristiti Windows AppLocker da sprečite izvršavanje sadržaja iz korisničkih foldera (AppData, Temp)
- Proširiti sigurnosne treninge sa društvenih mreža i portala za zapošljavanje, ne samo email phishing
- Provjeriti autentičnost ponuda za posao direktnom komunikacijom sa kompanijom preko verifikovanih kanala
- Biti oprezan sa preuzimanjem datoteka iz "portala" do logovanja - legitimne kompanije obično imaju drugačije procedure
- Pratiti SHA-256 heš vrijednosti dostavljene od strane bezbednosnih istraživača za detektovanje poznatih datoteka
Tehnički detalji
Napadači koriste AppDomain hijacking tehniku - legalno potpisanu Microsoft Visual Studio komponentu setup.exe kombinovanu sa malicioznom bibliotekom TOTPGuard.dll. Glavni malver (main.dll) se postavlja u AppData folder i kreira zakazani zadatak "BackupCheck" za pokretanje pri logovanja. C2 komunikacija ide preko Microsoft Azure servisa (domene: globalitconsultants[.]azurewebsites[.]net i globalbusiness-checkers-it[.]azurewebsites[.]net) što omogućava prolazak kroz standardne bezbednosne filtre jer Azure izgleda kao legitimni servis. Malver koristi AES enkripciju sa hardkodovanim ključevima i ima anti-analizu zaštite uključujući proveru debuggera kroz Process Environment Block.
Preporuka Sajber Radara
Sve organizacije sa zaposlenima u odbranskom i tehnološkom sektoru trebaju hitno uvesti kontrolu preuzimanja iz neobičnih portala i obučiti timove da verifikuju ponude za posao iz primarnih izvora. Pažnja na AppLocker politike i monitoring Azure domena su kritični koraci u odbrani.
