Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç, sosyal mühendislik
İranlı bilgisayar korsanları, çevrimiçi işe alımları taklit ediyor
Prajeet Nair (@prajeaetspeaks) •
23 Eylül 2025
Havacılık ve uzayda çalışan Batılı Avrupalılar, savunma üretimi veya telekomlar, aslında bir arka kapıyı ve bir infostealer’ı serbest bırakmaya hazır İran devlet hackerları olan varsayılan iş işe alımcılarından e -posta dalgaları alıyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
İran eyalet korsanları, Kuzey Kore tarafından öncülük ettiği sahte işe alım yapan kimlik avı dolandırıcılarının hevesli adanmışları kanıtladı, o kadar ki bazı araştırmacılar Pyongyang’ın Tahran meslektaşlarıyla saldırı yöntemlerini ve araçlarını paylaşmalarının mümkün olduğunu söylemişlerdi (bkz: bkz:: İran tehdit aktörleri Kuzey Kore iş aldatmaca tekniklerini taklit et).
Kontrol noktasındaki araştırmacılar tarafından tespit edilen bir kampanyada, İranlı hackerlar, kurbanları Airbus ve Boeing gibi şirketler tarafından inşa edilen sahte kariyer portallarına yönlendiren sözde işe alım görevlilerinden özel e -postalar göndererek Danimarka, İsveç ve Portekiz’deki işçilere odaklandı.
Check Point, tehdit oyuncusunu “Nimbus Manticore” olarak izler, bu da hack aktivitesi ile örtüşen UNC1549 ve duman kum fırtınası olarak da izlenir.
Her hedef benzersiz bir URL ve giriş kimlik bilgileri alır ve saldırganların erişimi kontrol etmesini ve bireysel kurbanları izlemesini sağlar. Giriş, eşsiz bir enfeksiyon zincirine başlar ve bu da “dağıtım, altyapı ve yük katmanlarında gizlilik, esneklik ve operasyonel güvenliği önceliklendiren olgun, iyi kaynaklı bir aktörün yansıtılmasını sağlayan kötü amaçlı yazılım enfeksiyonlarına neden olur” diye yazdı Check Point.
Enfeksiyon zinciri bir zip arşiv dosyasıyla başlar – adlandırılmıştır Survey.zip Meşru bir Windows yürütülebilir dosyalar içeren Check Point ile analiz edilen bir örnekte, Setup.exekötü niyetli bir userenv.dll. Saldırganlar, DLL yükleme yollarını ele geçirmek için belgesiz düşük seviyeli bir Windows API’sından yararlanır. Kötüye kullanarak SenseSampleUploader.exeDLL kaçırmaya karşı savunmasız bir Windows Defender bileşeni, Saldırganlar Sideload xmllite.dll Arşiv dizininden. Dosyaları kopyalayarak kalıcılık elde edilir. %AppData%LocalMicrosoftMigAutoPlay ve kötü amaçlı yürütülebilir dosyayı kisvenin kisvesi altında çalıştırmak için planlama görevleri MigAutoPlay.exe.
Mağdurlar sonuçta kötü amaçlı yazılım yüklerken sahte bir hata mesajı görürler. Saldırının merkezinde, minibike olarak bilinen önceki bir implantın evrimi olan minijunk arka kapı var. Minijunk, ters mühendisliğe direnmek için ağır derleyici düzeyinde şaşkınlık, önemsiz kod ve şifreli dizeler kullanır. HTTPS isteklerini kullanarak sistem tanımlayıcıları toplar, kalıcılık oluşturur ve birden fazla gereksiz komut ve kontrol sunucusu ile iletişim kurar.
Paralel olarak, bilgisayar korsanları, krom ve kenar tarayıcılarını hedefleyen hafif bir kimlik bilgisi çalan olan Minibrowse’yi dağıtıyor. Enjekte edilen bir DLL olarak teslim edilen Minibrowse, depolanmış şifreleri çıkarır. Tasarımına özgü olan Minibrowse, komut ve kontrol sunucusunun tarayıcı giriş dosyalarını aramaya devam etmeden önce 200 dışındaki herhangi bir HTTP koduyla yanıt vermesini bekliyor.
Check Point araştırmacıları, grubun SSL.com’dan geçerli dijital kod imzalama sertifikalarını kullanmasının büyük ölçüde daha düşük algılama oranlarını kullandığını söyledi. Aktörler ayrıca antivirüs sezgisel tarama ve büyük dosyaların analizini kesen makine öğrenme modellerini atlamak için ikili boyutları önemsiz kodla şişirir. Haziran ayında, Nimbus Manticore, Cloudflare’yi Microsoft Azure uygulama hizmeti ile harmanlamak için altyapısını yeniden savaşarak, alanların veya sağlayıcıların askıya alınması durumunda esnekliği sağladı.
Araştırmacılar, farklı bir yük yükü kullanarak ayrı ama ilgili bir faaliyet kümesi belirlediler. dxgi.dll DLL kaçırma yoluyla teslim edilir. Daha az sofistike olsa da, bu varyant minijunk ile bir kod tabanını paylaşıyor ve birden fazla aktörün aynı araç setine erişebileceğini öne sürüyor.