MiniFast aizmugurējās durvis
Irānas valsts sponsorētais draudu grupējums, kas pazīstams kā ar Islāma revolucionāro gvardi saistītais Nimbus Manticore, kas tiek izsekots arī kā Screening Serpens un UNC1549, ir pastiprinājis savas kiberkampaņas pret organizācijām Amerikas Savienotajās Valstīs, Eiropā un Tuvajos Austrumos pēc ASV un Izraēlas kopīgajiem uzbrukumiem Irānai 2026. gada februārī. Grupējums vērsās pret aviācijas un programmatūras nozares uzņēmumiem, izmantojot arvien sarežģītākas ielaušanās metodes un ļaunprogrammatūras piegādes metodes.
Drošības pētnieki ir identificējuši vairākas operacionālas izmaiņas, kas atšķir jaunākās kampaņas no iepriekšējām aktivitātēm. To skaitā ir jaunas aizmugurējās durvis ar nosaukumu MiniFast ieviešana, plašāka lietotņu domēnu nolaupīšanas izmantošana un stratēģiska pārorientēšanās uz SEO saindēšanu, lai inficētu upurus, izmantojot viltotus programmatūras lejupielādes portālus. Analītiķi atklāja arī norādes, kas liecina, ka mākslīgā intelekta atbalstīta izstrāde, iespējams, ir paātrinājusi ļaunprogrammatūras izveidi.
Satura rādītājs
No viltus darba piedāvājumiem līdz meklētājprogrammu manipulācijām
Nimbus Manticore vēsturiski ir koncentrējies uz aizsardzības, aviācijas un telekomunikāciju mērķiem, izmantojot karjeras tematikas pikšķerēšanas kampaņas, ko parasti dēvē par “Irānas sapņu darba” operācijām. Šī taktika ir ļoti līdzīga operācijai “Sapņu darbs” – ilgstošai sociālās inženierijas kampaņai, kas saistīta ar Ziemeļkorejas draudu dalībniekiem.
Laikā no 2026. gada februāra līdz aprīlim grupa bez pārtraukuma īstenoja trīs atšķirīgas kampaņas, demonstrējot agresīvu operatīvo tempu reģionālā konflikta laikā.
2026. gada februārī aviācijas un programmatūras organizāciju darbinieki Saūda Arābijā un Austrālijā saņēma krāpnieciskus darba piedāvājumus, kuros bija ZIP arhīvi, kas tika mitināti OnlyOffice. Atverot labdabīgu izpildāmo failu arhīvā, tika nolaupīta AppDomain, kas galu galā izplatīja MiniJunk ļaunprogrammatūras DLL.
2026. gada martā apdraudējuma izpildītājs izmantoja līdzīgu inficēšanas ķēdi, taču procesā iekļāva ar trojāniem inficētu Zoom instalētāju. Ļaunprogramma, visticamāk, tika izplatīta, izmantojot viltotus sapulču ielūgumus, un galu galā instalēja jaunatklāto MiniFast aizmugurējo durvju sistēmu.
2026. gada aprīlī Nimbus Manticore ieviesa pavisam citu stratēģiju, izmantojot SEO piesārņošanas metodes. Operatori izveidoja viltotu lejupielādes lapu, kas iemiesojās Oracle SQL izstrādātāja lomā, un manipulēja ar meklētājprogrammu reitingiem Bing un DuckDuckGo, reģistrējot daudzus atbalsta domēnus, kas paredzēti, lai uzlabotu vietnes redzamību.
Šis bija pirmais zināmais gadījums, kad grupa atteicās no tradicionālās mērķtiecīgās pikšķerēšanas (spearphishing), dodot priekšroku meklētājprogrammu vadītai ļaunprogrammatūras izplatīšanai. Tā vietā, lai tieši uzbruktu upuriem, izmantojot e-pasta ēsmas, uzbrucēji gaidīja, kamēr izstrādātāji un IT personāls tiešsaistē meklēs bieži izmantotu programmatūru, pirms piegādās inficētus instalētājus.
MiniFast Backdoor atklāj paplašinātas tehniskās iespējas
MiniFast, kas pazīstams arī kā MiniUpdate, ir ievērojams uzlabojums Nimbus Manticore ļaunprogrammatūras arsenālā. Pētnieki raksturo ļaunprogrammatūru kā pilnvērtīgu aizmugurējo durvju sistēmu, kas izstrādāta pastāvīgai piekļuvei, attālinātai komandu izpildei un ilgtermiņa spiegošanas operācijām.
Pirms nonākšanas komandu cilpā ļaunprogrammatūra, izmantojot HTTP, pārsūta pamatinformāciju par sistēmu uz komandu un vadības infrastruktūru. Pēc tam tā nepārtraukti izgūst instrukcijas, augšupielādē izpildes rezultātus, izgūst failus un lejupielādē papildu vērtumus.
Aizmugurējās durvis atbalsta plašu iespēju klāstu, tostarp:
- Failu manipulācija un direktoriju uzskaitīšana
- Procesu uzskaitīšana un piespiedu procesa pārtraukšana, izmantojot PID
- Attālā komandu izpilde, izmantojot cmd.exe
- DLL ielāde un ZIP arhīva izveide
- Neatlaidība, veicot ieplānotos uzdevumus
- Privilēģiju eskalācija, izmantojot komandu “runas”
- Regulējami bākuguns intervāli ar konfigurējamu svārstību funkciju, lai nejauši izvēlētos sakarus
Pētnieki arī novēroja pazīmes, ka mākslīgā intelekta atbalstīti kodēšanas rīki, iespējams, ir veicinājuši ļaunprogrammatūras izstrādi. Pierādījumi ietver neparasti detalizētu kļūdu apstrādi, pārmērīgu aizsardzības programmēšanas loģiku, atkārtotas nosaukumu piešķiršanas konvencijas, ļoti detalizētus atkļūdošanas stila statusa ziņojumus un modulāru koda strukturēšanu, kas ir neparasta šāda mēroga un sarežģītības ļaunprogrammatūrai.
Konflikts veicina ātrākas un plašākas kiberoperācijas
Kiberdrošības eksperti uzskata, ka šīs kampaņas demonstrē ievērojamu Nimbus Manticore operacionālo evolūciju. Tā vietā, lai palēninātu darbību aktīva ģeopolitiskā konflikta laikā, grupa paplašināja gan savu darbību tempu, gan sarežģītību.
Jaunizstrādātas aizmugurējās durvis strauja izvietošana notiekošu operāciju laikā liecina par paātrinātiem ļaunprogrammatūras izstrādes cikliem, ko, iespējams, atbalsta mākslīgā intelekta rīki. Vienlaikus pāreja no mērķtiecīgas pikšķerēšanas uz SEO piesārņošanu atspoguļo plašākas ambīcijas, kas sniedzas tālāk par tradicionālajām uz spiegošanu vērstajām iejaukšanās darbībām Tuvajos Austrumos.
Apvienojot pikšķerēšanas operācijas, lietotņu domēnu nolaupīšanu, mākslīgā intelekta atbalstītu ļaunprogrammatūras izstrādi un meklētājprogrammu manipulācijas vairākās kampaņu kārtās, Nimbus Manticore demonstrēja ļoti adaptīvu apdraudējumu modeli, kas spēj strauji attīstīties ģeopolitiskās nestabilitātes periodos.
