Оферта за отстъпка за множество лицензи
База данни за заплахи Задни врати Задна вратичка SloppyMIO

Задна вратичка SloppyMIO

До Mezo през Задни врати, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Говорещ фарси хакер, за когото се смята, че е свързан с интересите на иранската държава, е заподозрян в организиране на нова кибершпионска кампания, насочена към неправителствени организации и лица, участващи в документирането на скорошни нарушения на правата на човека. Изследователи по сигурността идентифицираха дейността през януари 2026 г. и ѝ присвоиха кодовото име RedKitten.

Политически контекст и стратегия за насочване

Кампанията тясно се припокрива с широко разпространените вълнения в Иран, започнали в края на 2025 г., предизвикани от рязка инфлация, ескалация на цените на храните и силно обезценяване на валутата. Съобщава се, че последвалите правителствени репресии са довели до значителни жертви и продължителни прекъсвания на интернет връзката. Операцията изглежда е предназначена да се възползва от тази среда, като се възползва от хора, търсещи информация за изчезнали или починали протестиращи, използвайки емоционалния стрес, за да предизвика неотложност и да намали скептицизма.

Вектор на първоначална инфекция и разработка, задвижвана от LLM

Веригата от прониквания започва със 7-Zip архив, носещ файлово име на фарси. Вътре се съдържат електронни таблици на Microsoft Excel, съдържащи злонамерени макроси. Тези XLSM файлове уж изброяват протестиращите, убити в Техеран между 22 декември 2025 г. и 20 януари 2026 г.; несъответствия, като например несъответстващи възрасти и дати на раждане, обаче показват, че данните са изфабрикувани. Когато макросите са активирани, VBA-базиран дропър внедрява C# имплант с име „AppVStreamingUX_Multi_User.dll“, използвайки AppDomainManager injection.

Анализът на кода показва, че вероятно са използвани големи езикови модели при разработката, въз основа на структурата на макроса, конвенциите за именуване и вградените коментари, наподобяващи автоматизирани или инструкционни подкани.

Архитектура и възможности на задната вратичка SloppyMIO

Имплантираната задна вратичка, проследявана като SloppyMIO, разчита до голяма степен на легитимни облачни и съвместни платформи. GitHub се използва като „мъртва капка“ за получаване на URL адреси от Google Drive, хостващи изображения, които крият конфигурационни данни чрез стеганография. Извлечените настройки включват идентификационни данни за ботове на Telegram, идентификатори на чатове и връзки към допълнителни полезни данни.

SloppyMIO поддържа множество функционални модули, които позволяват изпълнение на команди, събиране и извличане на файлове, разполагане на полезен товар, запазване на данните чрез планирани задачи и изпълнение на процеси. Зловредният софтуер може да изтегля, кешира и изпълнява тези модули при поискване, давайки на операторите широк контрол върху компрометираните системи.

Поддържаните функционални модули включват:

  • Изпълнение на команди чрез командния интерпретатор на Windows
  • Събиране на файлове и екстракция, базирана на ZIP, с размер, съобразен с ограниченията на Telegram API
  • Записване на файл в локална директория с данни на приложението с помощта на полезни товари, кодирани с изображения
  • Създаване на планирани задачи за повтарящо се изпълнение
  • Започване на произволен процес
  • Командване и контрол чрез Telegram

Освен модулното доставяне на полезен товар, SloppyMIO поддържа непрекъсната комуникация със своите оператори, използвайки Telegram Bot API. Имплантираните маяци отчитат състоянието на системата, запитват за инструкции и предават събраните данни чрез чатове в Telegram, като същевременно поддържат директно задаване на задачи от отделна крайна точка за командване и контрол.

Наблюдаваните команди на оператора включват:

  • Задействане на събиране и извличане на файлове
  • Изпълнение на произволни команди от shell
  • Стартиране на определени приложения или процеси

Атрибуция и исторически паралели

Приписването на свързани с Иран актьори се основава на множество показатели: артефакти на фарси език, примамливи теми, свързани с вътрешни вълнения, и тактическо припокриване с по-ранни кампании. Забележително е, че съществуват сходства с операции, приписвани на Tortoiseshell, която преди това е злоупотребявала със злонамерени Excel файлове и инжектиране на AppDomainManager, както и кампания от 2022 г., свързана с подклъстер Nemesis Kitten, който е използвал GitHub за разпространение на задната вратичка Drokbk. Нарастващото използване на инструменти, подпомагани от изкуствен интелект, допълнително усложнява диференциацията на актьорите и увереността в приписването.

Паралелни фишинг операции и по-широко въздействие

Отделно, разследващите разкриха фишинг кампания, осъществявана чрез WhatsApp, която използва фалшив уеб интерфейс на WhatsApp, хостван на DuckDNS домейн. Страницата непрекъснато проверява контролирана от нападателя крайна точка, за да покаже QR код в реално време, свързан със собствената уеб сесия на нападателя в WhatsApp. Жертвите, сканиращи кода, несъзнателно удостоверяват нападателя, предоставяйки му пълен достъп до акаунта. Фишинг инфраструктурата също така търси разрешения на браузъра за достъп до камера, микрофон и геолокация, което ефективно позволява наблюдение в реално време.

Допълнителни открития показват свързана дейност, насочена към събиране на идентификационни данни за Gmail, включително пароли и кодове за двуфакторно удостоверяване, чрез фалшиви страници за вход. Засегнати са приблизително 50 души, сред които членове на кюрдската общност, академици, държавни служители, бизнес лидери и други високопоставени фигури. Операторите, стоящи зад тези фишинг усилия, и точните им мотиви остават непотвърдени.

Оперативни търговски занаяти и отбранителни последици

Широкото използване на комерсиализирани платформи като GitHub, Google Drive и Telegram възпрепятства традиционното проследяване, базирано на инфраструктура, като едновременно с това въвежда експлоатираеми метаданни и рискове за оперативната сигурност за нападателите. В съчетание с нарастващото приемане на изкуствен интелект от страна на злонамерените лица, кампании като RedKitten подчертават необходимостта защитниците да се съсредоточат върху поведенчески анализ, валидиране на съдържание и осведоменост на потребителите, вместо да разчитат единствено на инфраструктурни показатели.

Тенденция

Доверителен портфейл - Измама с подаръци от Blue...

Измамни уебсайтове
Проявяването на повишено внимание при сърфиране в интернет никога не е било по-важно. Измамните уебсайтове, подвеждащите реклами и фалшивите промоции стават все по-сложни, често имитиращи надеждни...

Измама с имейл за известие за неуспех на домейна

Фишинг, Спам
Бдението при работа с неочаквани имейли е от съществено значение. Киберпрестъпниците често използват доверието и неотложността, за да подведат получателите и да ги накарат да вземат опасни решения. Измамните съобщения често са внимателно изработени, за да изглеждат легитимни, въпреки че не са свързани с реални компании, организации или доставчици на услуги. Една такава заплаха, разпространяваща...

Smartbridgeworks.co.in

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Постоянното предпазване при сърфиране в мрежата е от съществено значение в днешния пейзаж на заплахи. Измамническите уебсайтове са проектирани да изглеждат безобидни, като същевременно дискретно...

Най-гледан

Зловреден софтуер

Фишинг, Спам
26,860
Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
Зареждане...