04/03/25
Атака была направлена против компаний, работающих в сфере авиации и спутниковых коммуникаций, с целью доставки ранее неизвестного бэкдора Sosano, написанного на языке Go.
Proofpoint, обнаружившая активность в конце октября 2024 года, присвоила группировке кодовое название UNK_CraftyCamel, пишут в Securitylab. Одной из ключевых особенностей атаки стало использование скомпрометированной учётной записи индийской компании INDIC Electronics, которая находилась в доверительных деловых отношениях с жертвами.
Фишинговые письма содержали ссылки на поддельный домен, имитирующий веб-сайт компании («indicelectronics[.]net»), где был размещён ZIP-архив с вредоносными файлами.
Архив содержал три файла: XLS-файл, замаскированный под документ Excel, и два PDF-файла, которые оказались полиглотами . Один из файлов включал HTA-скрипт, а другой — встроенный ZIP-архив. Злоумышленники использовали файлы для обхода систем обнаружения угроз и запуска вредоносного кода.
Запуск атаки происходил следующим образом: LNK-файл в архиве активировал командную строку cmd.exe, затем mshta.exe выполнял HTA-скрипт из PDF-файла. Скрипт распаковывал ZIP-архив из второго PDF, который содержал интернет-ярлык, запускающий бинарный файл. В результате происходила загрузка изображений, содержащих зашифрованную (XOR) полезную нагрузку, которая декодировалась строкой «234567890abcdef» и приводила к запуску бэкдора Sosano.
Функциональность бэкдора Sosano включала взаимодействие с C2-сервером и выполнение команд:
- sosano — получение текущего каталога или его смена,
- yangom — просмотр содержимого каталога,
- monday — загрузка и запуск следующего этапа атаки,
- raian — удаление каталога,
- lunna — выполнение команд в оболочке.
Исследователи отметили, что используемые методы не совпадают с тактиками других известных группировок. Однако анализ указывает на возможную связь кампании с Ираном, в частности с Корпусом стражей исламской революции (КСИР). Выбор целей — авиация, спутниковая связь и критически важная транспортная инфраструктура ОАЭ — свидетельствует о стремлении атакующих собирать разведывательную информацию в стратегически важных секторах.
Специалисты Proofpoint подчеркнули, что кампания отличается малым объёмом и высокой избирательностью, а применённые техники сокрытия и компрометация доверенной третьей стороны подчёркивают сложность и уровень подготовки атаки.
