Методичность стала главным оружием Nimbus Manticore.
Исследователи из компании Check Point долгую и целенаправленную кампанию группы Nimbus Manticore — известной также как UNC1549 и Smoke Sandstorm — которая с начала 2025 года нацеливается на оборонные предприятия, телеком-операторов и авиационные структуры, совпадающие с приоритетами Корпуса стражей исламской революции.
Аналитики компании зафиксировали усиление активности в Западной Европе, особенно в Дании, Швеции и Португалии, где злоумышленники использовали убедительные рекрутинговые приманки и тщательно продуманные механизмы маскировки инфраструктуры.
Атаки начинаются с персонализированных -рассылок от якобы HR-сотрудников — каждому получателю предоставляется уникальная ссылка и индивидуальные учётные данные для поддельного портала, сделанного на React и нередко размещённого за прокси-сервисами Cloudflare. После входа жертве предлагают скачать ZIP-архив с Setup.exe — легитимным на вид установщиком, который запускает сложную цепочку боковой загрузки библиотек через низкоуровневые вызовы Windows NT API.
Вредоносная процедура включает несколько шагов. Setup.exe подгружает из архива библиотеку userenv.dll, затем инициирует работу компонента Windows Defender SenseSampleUploader.exe, который принудительно загружает xmllite.dll посредством изменённого параметра DllPath. Для закрепления в системе злоумышленники копируют файлы в каталог %AppData%\Local\Microsoft\MigAutoPlay, переименовывают основной файл в MigAutoPlay.exe и создают планировщик задач для автозапуска; при каждом старте демонстрируется ложное окно сетевой ошибки, отвлекающее пользователя.
Основной набор инструментов состоит из MiniJunk и инфостилера MiniBrowse. MiniJunk начинает работу в точке DLLMain, собирает системные идентификаторы, подменяет поведение завершения процесса через перехват ExitProcess и запускает ветвистый поток для связи с C2-сервером; команды для управления устройством и выгрузки данных передаются в виде разделённых строк и обрабатываются стандартными операциями чтения файлов, создания процессов и загрузки дополнительных библиотек.
MiniBrowse внедряется в процессы браузеров Chromium-семейства, извлекает базы учётных записей и отправляет их на управляющие узлы по HTTP POST или через именованные каналы. Оба инструмента снабжены действительными цифровыми подписями, имеют завышенный размер бинарников и используют обфускацию на уровне компилятора, что снижает шанс обнаружения — некоторые образцы долгое время демонстрировали нулевой детект на VirusTotal.
Кампания демонстрирует зрелую государственную тактику: множественные уровни устойчивости, тщательное соблюдение правил операционной безопасности и приманки, адаптированные под отраслевые аудитории. Организациям в зонах риска стоит ужесточить противофишинговые меры, отслеживать аномалии с загрузкой DLL и обращать внимание на большие подписанные бинарные файлы как возможный индикатор скрытой загрузки или эксплуатации.
Подробнее:
Исследователи из компании Check Point долгую и целенаправленную кампанию группы Nimbus Manticore — известной также как UNC1549 и Smoke Sandstorm — которая с начала 2025 года нацеливается на оборонные предприятия, телеком-операторов и авиационные структуры, совпадающие с приоритетами Корпуса стражей исламской революции.
Аналитики компании зафиксировали усиление активности в Западной Европе, особенно в Дании, Швеции и Португалии, где злоумышленники использовали убедительные рекрутинговые приманки и тщательно продуманные механизмы маскировки инфраструктуры.
Атаки начинаются с персонализированных -рассылок от якобы HR-сотрудников — каждому получателю предоставляется уникальная ссылка и индивидуальные учётные данные для поддельного портала, сделанного на React и нередко размещённого за прокси-сервисами Cloudflare. После входа жертве предлагают скачать ZIP-архив с Setup.exe — легитимным на вид установщиком, который запускает сложную цепочку боковой загрузки библиотек через низкоуровневые вызовы Windows NT API.
Вредоносная процедура включает несколько шагов. Setup.exe подгружает из архива библиотеку userenv.dll, затем инициирует работу компонента Windows Defender SenseSampleUploader.exe, который принудительно загружает xmllite.dll посредством изменённого параметра DllPath. Для закрепления в системе злоумышленники копируют файлы в каталог %AppData%\Local\Microsoft\MigAutoPlay, переименовывают основной файл в MigAutoPlay.exe и создают планировщик задач для автозапуска; при каждом старте демонстрируется ложное окно сетевой ошибки, отвлекающее пользователя.
Основной набор инструментов состоит из MiniJunk и инфостилера MiniBrowse. MiniJunk начинает работу в точке DLLMain, собирает системные идентификаторы, подменяет поведение завершения процесса через перехват ExitProcess и запускает ветвистый поток для связи с C2-сервером; команды для управления устройством и выгрузки данных передаются в виде разделённых строк и обрабатываются стандартными операциями чтения файлов, создания процессов и загрузки дополнительных библиотек.
MiniBrowse внедряется в процессы браузеров Chromium-семейства, извлекает базы учётных записей и отправляет их на управляющие узлы по HTTP POST или через именованные каналы. Оба инструмента снабжены действительными цифровыми подписями, имеют завышенный размер бинарников и используют обфускацию на уровне компилятора, что снижает шанс обнаружения — некоторые образцы долгое время демонстрировали нулевой детект на VirusTotal.
Кампания демонстрирует зрелую государственную тактику: множественные уровни устойчивости, тщательное соблюдение правил операционной безопасности и приманки, адаптированные под отраслевые аудитории. Организациям в зонах риска стоит ужесточить противофишинговые меры, отслеживать аномалии с загрузкой DLL и обращать внимание на большие подписанные бинарные файлы как возможный индикатор скрытой загрузки или эксплуатации.
Подробнее:
