Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Užpakalinės durys MiniFast galinės durys

MiniFast galinės durys

Autorius Mezo, Užpakalinės durys, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Irano valstybės remiamas teroristas, žinomas kaip su Islamo revoliucijos gvardija susijusi „Nimbus Manticore“, taip pat žinomas kaip „Screening Serpens“ ir UNC1549, po bendrų JAV ir Izraelio smūgių Iranui 2026 m. vasarį suintensyvino kibernetines kampanijas prieš organizacijas Jungtinėse Valstijose, Europoje ir Artimuosiuose Rytuose. Grupuotė taikėsi į aviacijos ir programinės įrangos pramonės įmones, naudodama vis sudėtingesnius įsilaužimo metodus ir kenkėjiškų programų platinimo metodus.

Saugumo tyrėjai nustatė keletą operacinių pokyčių, kurie skiria naujausias kampanijas nuo ankstesnės veiklos. Tai apima naujų „backdoor“, vadinamų „MiniFast“, įdiegimą, platesnį programų domenų užgrobimo naudojimą ir strateginį posūkį link SEO užkrėtimo, siekiant užkrėsti aukas per netikras programinės įrangos atsisiuntimo portalus. Analitikai taip pat aptiko požymių, rodančių, kad dirbtinio intelekto pagalba kuriamos programos galėjo paspartėti.

Nuo netikrų darbo pasiūlymų iki paieškos sistemų manipuliavimo

„Nimbus Manticore“ istoriškai daugiausia dėmesio skyrė gynybos, aviacijos ir telekomunikacijų sektoriams, vykdydama su karjera susijusias sukčiavimo kampanijas, paprastai vadinamas „Irano svajonių darbo“ operacijomis. Ši taktika labai primena operaciją „Svajonių darbas“ – ilgalaikę socialinės inžinerijos kampaniją, siejamą su Šiaurės Korėjos grėsmės veikėjais.

Nuo 2026 m. vasario iki balandžio mėn. grupė be pertraukų vykdė tris skirtingas kampanijos bangas, demonstruodama agresyvų operacinį tempą regioninio konflikto metu.

2026 m. vasarį aviacijos ir programinės įrangos organizacijų darbuotojai Saudo Arabijoje ir Australijoje gavo apgaulingų darbo pasiūlymų, kuriuose buvo ZIP archyvai, saugomi „OnlyOffice“ svetainėje. Atidarius gerybinį vykdomąjį failą archyve, buvo užgrobta „AppDomain“, kuri galiausiai dislokavo „MiniJunk“ kenkėjiškos programos DLL.

2026 m. kovo mėn. grėsmės veikėjas panaudojo panašią užkrėtimo grandinę, tačiau į procesą įtraukė trojanizuotą „Zoom“ diegimo programą. Kenkėjiška programa greičiausiai buvo platinama per netikrus susitikimų kvietimus ir galiausiai įdiegė naujai identifikuotą „MiniFast“ galinę durelę.

2026 m. balandžio mėn. „Nimbus Manticore“ pristatė visiškai kitokią strategiją, pasitelkdama SEO užkrėtimo technikas. Operatoriai sukūrė suklastotą atsisiuntimo puslapį, apsimetantį „Oracle SQL Developer“, ir manipuliavo paieškos sistemų reitingais „Bing“ ir „DuckDuckGo“, registruodami daugybę pagalbinių domenų, skirtų padidinti svetainės matomumą.

Tai buvo pirmas žinomas atvejis, kai grupuotė atsisakė tradicinio sukčiavimo apsimetant kitais kompiuteriais ir pasirinko paieškos sistemų valdomą kenkėjiškų programų platinimą. Užuot tiesiogiai taikęsi į aukas el. pašto masalais, užpuolikai laukė, kol kūrėjai ir IT personalas internete ieškos dažniausiai naudojamos programinės įrangos, prieš pristatydami užkrėstus diegimo failus.

„MiniFast Backdoor“ atskleidžia plečiančias technines galimybes

„MiniFast“, dar žinomas kaip „MiniUpdate“, yra didelis „Nimbus Manticore“ kenkėjiškų programų arsenalo patobulinimas. Tyrėjai šią kenkėjišką programą apibūdina kaip visavertę galinę durelę, sukurtą nuolatinei prieigai, nuotoliniam komandų vykdymui ir ilgalaikėms šnipinėjimo operacijoms.

Prieš patekdama į komandų ciklą, kenkėjiška programa per HTTP perduoda pagrindinę sistemos informaciją į savo komandų ir valdymo infrastruktūrą. Tada ji nuolat gauna instrukcijas, įkelia vykdymo rezultatus, išfiltruoja failus ir atsisiunčia papildomus naudinguosius duomenis.

Užpakalinės durys palaiko platų funkcijų spektrą, įskaitant:

  • Failų manipuliavimas ir katalogų išvardijimas
  • Procesų sąrašas ir priverstinis proceso nutraukimas per PID
  • Nuotolinis komandų vykdymas naudojant cmd.exe
  • DLL įkėlimas ir ZIP archyvo kūrimas
  • Atkaklumas atliekant suplanuotas užduotis
  • Privilegijų eskalavimas naudojant komandą „runas“
  • Reguliuojami švyturių intervalai su konfigūruojamu virpesių reguliavimu, kad būtų galima atsitiktinai parinkti ryšį

Tyrėjai taip pat pastebėjo požymių, kad dirbtinio intelekto palaikomi kodavimo įrankiai galėjo prisidėti prie kenkėjiškos programos kūrimo. Įrodymai apima neįprastai išsamų klaidų apdorojimą, pernelyg didelę gynybinę programavimo logiką, pasikartojančias pavadinimų suteikimo konvencijas, labai išsamius derinimo stiliaus būsenos pranešimus ir modulinę kodo struktūrą, neįprastą tokio masto ir sudėtingumo kenkėjiškai programai.

Konfliktai kurstė greitesnes ir platesnio masto kibernetines operacijas

Kibernetinio saugumo ekspertai mano, kad šios kampanijos rodo reikšmingą „Nimbus Manticore“ operacinę evoliuciją. Užuot sulėtinusi veiklą aktyvaus geopolitinio konflikto metu, grupė išplėtė savo veiklos tempą ir sudėtingumą.

Greitas naujai sukurtos galinės durys diegimas vykstančių operacijų metu rodo pagreitėjusius kenkėjiškų programų kūrimo ciklus, kuriuos gali palaikyti dirbtinio intelekto įrankiai. Tuo pačiu metu perėjimas nuo tikslinio sukčiavimo prie SEO optimizavimo atspindi platesnį siekį, peržengiantį tradicinius į šnipinėjimą orientuotus įsilaužimus Artimuosiuose Rytuose.

Derindamas sukčiavimo operacijas, programų domenų užgrobimą, dirbtinio intelekto padedamą kenkėjiškų programų kūrimą ir paieškos sistemų manipuliavimą keliose kampanijose, „Nimbus Manticore“ pademonstravo labai adaptyvų grėsmių modelį, galintį sparčiai keistis geopolitinio nestabilumo laikotarpiais.

Tendencijos

Saugos naujinimas, skirtas atpažinti patikimus...

Sukčiavimas, Šlamštas
Į netikėtus el. laiškus, reikalaujančius skubių veiksmų, visada reikėtų žiūrėti atsargiai, ypač kai juose yra paskyros saugumo įspėjimų arba prašymų patikrinti asmeninę informaciją. Kibernetiniai nusikaltėliai dažnai maskuoja sukčiavimo pranešimus kaip oficialius pranešimus, kad manipuliuotų gavėjais ir priverstų juos atskleisti neskelbtinus duomenis. El. laiškai „Saugos naujinys, skirtas...

Labiausiai žiūrima

Įkeliama...