伊朗梦工作攻击活动的新动态

关键要点

根据ClearSky Cyber Security于11月12日的博文，伊朗威胁行为者TA455正通过提供虚假工作机会，积极针对航空航天行业。此次活动使用了SnailResin恶意软件，其中激活了SlugResin后门。ClearSky的研究人员将这些恶意软件归类为伊朗魅力小组APT35的一部分。

有趣的是，一些研究人员将这些恶意软件文件识别为与朝鲜的Kimsuky/Lazarus APT小组有关。ClearSky的研究人员指出：“相似的‘梦工作’诱饵、攻击技术和恶意软件文件表明，要么魅力小组在伪装成Lazarus以隐藏其活动，要么朝鲜与伊朗分享了攻击方法和工具。”

TA455的这些行业特定、以工作为主题的社交工程攻击展示出攻击精准度的AI驱动演变，使得针对航空航天等领域的行为变得经济可行。SlashNext电子邮件安全的现场首席技术官Stephen Kowski解释道，航空航天领域汇聚了专业人才和有价值的知识产权。

Kowski提到：“历史上，这些求职活动通常是普遍的，专注于大学环境，在那儿，急于寻找机会的学生成为恶意行为者以武器化PDF和有害压缩文件为目标的主要目标。现代安全解决方案能够实时检测恶意内容至关重要，因为传统的电子邮件安全往往无法捕捉这些伪装成合法工作机会和专业社交尝试的高度针对性攻击。”

Critical Start的网络威胁情报研究分析师Sarah Jones表示，高级持续威胁行为者，包括受国家支持的团体，频繁使用以工作为主题的社交工程策略来针对个人和组织。她表示：“这些活动利用了人们对职业发展和新机会的自然渴望。威胁行为者制作可信的职位发布信息，设立看似合法的前台公司，并通过LinkedIn等专业渠道与目标用户互动。”

SentinelOne的首席威胁研究员Tom Hegel补充称，这些攻击者常常通过个人渠道如LinkedIn和个人电子邮件针对员工，从而绕过企业的防御。他指出：“由于求职是个人事务，员工可能不会向雇主披露这些互动，从而增加了风险。在竞争激烈的求职市场中，这些诱饵尤其诱人。为了应对这一点，组织应教育员工关于接受非请求的工作机会的风险，并强调在社交媒体互动中的谨慎，因为攻击者能够轻易伪装成合法联系方式并具有恶意意图。这一攻击技术并非朝鲜或伊朗所独有。”

相关链接