Check Point Research, İran’a uyumlu tehdit oyuncusu Nimbus Manticore-ayrıca UNC1549, duman kum fırtınası ve “İran rüyası işi” operasyonu-hedefleme savunma üreticileri, telekomünikasyonlar ve Havacılık Varlıkları tarafından IRGC öncelikleriyle uyumlu uzun süredir devam eden bir kampanya tespit etti.
Son aktivite, Batı Avrupa’ya, özellikle Danimarka, İsveç ve Portekiz’e, havacılık, savunma ve telekom işe alımlarını taklit eden mızrak aktı yemleri ile keskin bir odaklanma göstermektedir.
Her kurban, ileri OPSEC ve güvenilir bir pretexting sergileyen ısmarlama sahte bir kariyer portalı için benzersiz bir URL ve kimlik bilgileri alır.
Aktör, düşük seviyeli Windows API ile daha önce belgelenmemiş çok aşamalı bir DLL yan yükleme zincirinden yararlanır ve meşru süreçlerin kötü amaçlı kütüphaneleri saldırgan kontrollü konumlardan silinmesine neden olur.
Birincil kötü amaçlı yazılım araç seti, hem geçerli dijital imzalar, şişirilmiş ikili boyutlar hem de statik analizden kaçmak için sofistike derleyici düzeyinde gizlenen minijunk arka kapı ve Minibrowse stealer’dan oluşur.
Genel olarak, bu kampanya, teslimat, altyapı ve yük katmanlarında gizli, esneklik ve operasyonel güvenliği vurgulayan ulus-devlet tradecraft’ı yansıtmaktadır.
2025’in başından beri, Check Point Research (CPR), Orta Doğu ve Avrupa’daki havacılık ve savunma organizasyonlarını hedefleyen olgun bir İran-nexus APT olan Nimbus Manticore’un faaliyet dalgalarını ele aldı.
İlk olarak 2022’de minibik (ayrıca slugresin) olarak belgelenen grubun özel implantları modüler mimariler, gereksiz komuta ve kontrol (C2) sunucuları ve güçlü gizleme teknikleri ile gelişti.
“İran rüyası” kimlik avı operasyonu, aktörün ikna edici işe alım temalı yemleri yaratma yeteneğini gösterdi. 2015’in ortalarında, Nimbus Manticore, çok aşamalı yan yükleme, derleyici düzeyinde gizleme ve gizli ve kalıcılığı artırmak için geçerli kod imzalamasını istihdam eden yeni bir süit-Minijunk ve Minibrowse-tanıttı.
Kötü amaçlı yazılım teslimi ve enfeksiyon zinciri
Nimbus Manticore’un saldırısı, İK işe alımcılarının iddia edilen mızrak aktı e-postalarıyla başlıyor.
Kurbanlar, Boeing, Airbus, Rheinmetall ve Flydubai gibi şirketleri taklit eden sahte portallara, genellikle altyapıyı gizlemek için Cloudflare’nin arkasına ev sahipliği yapmaya yöneliktir. Her portal URL ve giriş kimlik bilgisi benzersizdir ve hassas izleme sağlar.
A /Giriş Kullanıcısı API’si aracılığıyla başarılı kimlik doğrulama üzerine, kurbanlar, gözlemlenen en sofistike enfeksiyon zincirlerinden birini başlatan meşru bir yürütülebilir ürün olan setup.exe içeren kötü amaçlı bir fermuar arşivi indirirler.
- Kullanıcı yürütme
Setup.exe Arşiv dizininden kötü amaçlı bir userenv.dll kenar yükleri. - Kötü amaçlı yazılım kurulumu
Setup.exe, düşük seviyeli NT API’sinde manipüle edilmiş bir DLLPat parametresi aracılığıyla xmllite.dll’i sideloads olan Windows Defender SensePampleUploader.exe’yi çağırır. - Kalıcılık
Yükleyici, %AppData %\ local \ microsoft \ migautoplay, kopyalama setup.exe (yeniden adlandırılan migautoplay.exe) ve userenv.dll altında bir çalışma dizini oluşturur ve otomatik uygulama için bir görev planlar.
Kalıcının ardından, Migautoplay.exe Sideloads userenv.dll tekrar kullanıcıya sahte bir ağ hatası açılır.
Bir kez xmllite.dll yüklü, eylemleri oldukça basittir. Yol altında çalışan bir klasör oluşturur AppData\Local\Microsoft\MigAutoPlay\.
Minijunk Backdoor ve Minibrowse Stealer
Çekirdek arka kapı Minijunk, Dllmain’de başlar, ithalatları çözer ve sistem tanımlayıcıları (bilgisayar ve alan adları) toplama.
Gizli, boyut ve kodlama kombinasyonu daha düşük uç nokta tespiti ile sonuçlanır. Gördüğünüz gibi, en büyük örneklerden bazıları Virustotal’da sıfır tespitle kaldı:
Ağ verileri basitçe kodlanır – baytlara dönüştürülmüş, tersine çevrilmiş, daha sonra ipi tersine çevrilmiş – şifrelenmekten daha fazla kodlanmıştır. Minijunk kancaları, sonlandırmayı önlemek için çıkış yapar, daha sonra C2 iletişimi için şube ağır bir ana iş parçacığı başlatır. Üç ila beş HTTPS C2 sunucusu olan sert kodlu listeler artıklık sağlar.
Ayrıştırılmış C2 komutları (örneğin, dosyayı oku, işlem oluştur, dll yük) Dize tarafından ayrılmış bir şema izleyin, veri eklemesini ve standart arka kapı işlevselliğine sahip uzaktan yürütülmeyi etkinleştirin.
Bir refakatçi olan Minibrowse, tarayıcı işlemlerine enjekte ederek krom ve kenar kimlik bilgilerini hedefler. Tanımlayıcıları toplar, C2’ye bağlanır ve HTTP Post veya adlandırılmış borular aracılığıyla kimlik bilgisi veritabanlarını pespiltratlar.
Hem minijunk hem de minibrowse, antivirüs motorlarından kaçmak için geçerli dijital imzalardan ve şişirilmiş ikili boyutlardan yararlanır.
Nimbus Manticore’un son kampanyası, bir ulus devletinin gizli, esneklik ve operasyonel güvenliğe olan bağlılığını göstermektedir. Aktör, çok aşamalı yan yükleme ve gizleme tekniklerini geliştirerek, meşru bulut hizmetlerinden yararlanarak ve Avrupa savunma ve telekom sektörleri için yemleri özelleştirerek aktör algılama eşiklerinin altında çalışmaya devam ediyor.
Danimarka, İsveç, Portekiz ve ötesindeki kuruluşlar, kimlik avı savunmalarını güçlendirmeli, DLL tarafı yükleme davranışlarını izlemeli ve anormal yan yükleme için büyük, imzalı ikili dosyaları incelemelidir. Dikkat ve katmanlı güvenlik kontrolleri, bu gelişen tehdide karşı koymak için kritik öneme sahiptir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.