Авиакомпании подверглись атаке нового многоязычного вредоносного ПО

Компания Proofpoint выявила сложный случай BEC-атаки в Объединенных Арабских Эмиратах (ОАЭ). Нападавшие использовали зараженный электронный ящик для распространения полиглотских файлов среди жертв. Эти файлы позволяют внедрять скрытый backdoor против авиационных компаний.

Авиакомпании в ОАЭ недавно стали мишенью для сложной атаки с использованием BEC, направленной на развертывание продвинутого вредоносного ПО. Исследователи кибербезопасности из Proofpoint заявили, что наблюдали за тем, как целеустремленные злоумышленники атаковали компании с «достаточно ясным интересом к авиационным и спутниковым коммуникационным организациям, а также к важной транспортной инфраструктуре». Атаки начались в конце 2024 года, когда неизвестный злоумышленник под псевдонимом UNK_CraftyCamel взломал электронную почту индийской электронной компании, ранее работавшей с авиационными фирмами. Используя этот компрометированный ящик, атакующие распространяли полиглотские файлы, придавая своим действиям видимость легитимности.

Полиглотские файлы — это файлы, которые могут функционировать в нескольких форматах одновременно, что позволяет им избегать традиционных систем обнаружения. Хотя подобные файлы редки, они уже использовались в кибератаках ранее, например, при атаках с помощью загрузчика Emmenthaler.

Эти файлы приводят к установке нацеленного backdoor'a Sosano, разработанного на языке Go. Назначение этого backdoorа — поддерживать доступ и выполнять команды удаленно. Для уклонения от обнаружения злоумышленники увеличивали размер backdoor'a за счет ненужных библиотек Golang и задерживали его выполнение, чтобы избежать выявления в песочницах.

Proofpoint отметила, что Sosano подключался к удаленному серверу bokhoreshonline[.]com для получения команд и возможной загрузки дополнительных payload-ов. Хотя исследователи не связывают UNK_CraftyCamel с известными группами напрямую, они заметили параллели с угрозовыми акторами, ассоциированными с Ираном — TA451 и TA455, которые связаны с Корпусом стражей исламской революции (IRGC). Обе эти группы в прошлом сосредотачивались на целях авиационной отрасли. Кроме того, обе группы использовали HTA-файлы для проведения целевых атак в ОАЭ, а также предпочитали подходить к мишеням через предложения по бизнес-продажам и затем фокусироваться на инженерах внутри тех же компаний.

Несмотря на эти сходства, Proofpoint оценивает UNK_CraftyCamel как отдельную группу атакующих.