🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ator de ameaça patrocinado pelo Estado iraniano conhecido como Nimbus Manticore (também conhecido como Screening Serpens e UNC1549) foi atribuído a uma nova campanha usando iscas que se passam por organizações nos setores de aviação e software nos EUA, Europa e Oriente Médio, após a campanha militar conjunta EUA-Israel contra o país no final de fevereiro de 2026.
A atividade, além de abranger técnicas anteriormente não documentadas e capacidades aprimoradas, é caracterizada pelo uso de um novo backdoor de codinome MiniFast (também conhecido como MiniUpdate) que parece ter sido desenvolvido com assistência de inteligência artificial (IA), disse a Check Point em uma análise publicada na semana passada.
Afiliado ao Corpo da Guarda Revolucionária Islâmica (IRGC) do Irã, o Nimbus Manticore é mais conhecido por atingir os setores de defesa, aviação e telecomunicações usando iscas de phishing com temas profissionais. Estas campanhas também receberam o codinome Iranian Dream Job, devido a semelhanças táticas com a Operação Dream Job orquestrada por hackers norte-coreanos.
Cadeias de ataques recentes ligadas ao ator da ameaça testemunharam uma mudança na estratégia comercial, como evidenciado pelo uso do sequestro de AppDomain para entregar MiniJunk em fevereiro de 2026, seguido pela implantação do backdoor MiniFast em março e pela dependência do envenenamento de SEO para distribuir uma versão trojanizada do software SQL Developer da Oracle em abril.
Na primeira campanha observada antes do início da guerra, os funcionários dos setores de software e aviação na Arábia Saudita e na Austrália foram alvo de falsas oportunidades de carreira, enganando-os para que descarregassem um arquivo ZIP alojado no OnlyOffice. O lançamento de um executável benigno dentro do arquivo ZIP aproveitou uma técnica conhecida como sequestro de AppDomain para lançar uma DLL MiniJunk nociva.
Descobriu-se que a campanha de março de 2026 segue mais ou menos a mesma abordagem, só que desta vez o ator da ameaça também usou um instalador Zoom trojanizado como parte da sequência de ataque para lançar o binário que então aproveita o sequestro de AppDomain para implantar o MiniFast. Suspeita-se que a atividade fazia parte de uma campanha de phishing usando convites falsos para reuniões.
Há sinais de que a Nimbus Manticore usou o desenvolvimento assistido por IA para ajudar a criar o MiniFast. Isso inclui tratamento excessivo de erros e lógica de programação defensiva, padrões repetitivos de nomenclatura de funções e métodos com identificadores descritivos ou detalhados, diversas strings detalhadas de relatórios de erros e mensagens de status no estilo de depuração e organização de código modular, apesar da simplicidade geral do malware.
A Check Point disse que também observou no mês passado um site falso se passando por uma página de download do SQL Developer, enganando os visitantes que acessam a página por meio de envenenamento de SEO para baixar um instalador armado que oferece MiniFast. O desenvolvimento marca a primeira vez que o ator da ameaça recorreu a essa abordagem para entrega de malware.
“Este método de entrega de malware difere das cadeias de infecção usuais do Nimbus Manticore, que normalmente dependem de iscas de phishing com tema profissional”, disse a empresa. “Nesta campanha, o ator abusa de técnicas de otimização de mecanismos de busca registrando dezenas de domínios vinculados ao domínio falso, getsqldeveloper[.]com. Esta é provavelmente uma tentativa de aumentar a visibilidade do site por meio de sinais de reputação baseados em links.”
MiniFast é descrito como um backdoor completo projetado para persistência de longo prazo e execução remota de comandos. Ele se comunica com um servidor remoto por meio de solicitações HTTP para buscar tarefas, fazer upload de resultados de execução de comandos, exfiltrar arquivos e baixar carga útil adicional do servidor. Antes de entrar no ciclo de tarefas, o malware também transmite informações básicas do sistema ao operador.
Os comandos suportados pelo backdoor são variados, permitindo operações de arquivos, listagens de diretórios, enumeração de processos, execução de comandos via "cmd.exe", encerramento de processos usando seu PID, carregamento de DLL, criação de arquivo ZIP, persistência via tarefas agendadas e escalonamento de privilégios via comando "runas".
O backdoor também suporta a capacidade de atualizar o intervalo de pesquisa e o valor de jitter aplicado aos intervalos de beacon, de modo a randomizar a frequência com que os comandos são recuperados do servidor.
“O que se destaca é que as ambições deste grupo vão muito além da espionagem direcionada no Oriente Médio”, disse Sergey Shykevich, gerente do grupo de inteligência de ameaças da Check Point Research, em comunicado compartilhado com o The Hacker News. “Encontramos fortes indicadores de que a Nimbus Manticore usou ferramentas de IA para escrever malware com mais rapidez.”
“Eles construíram e implantaram um backdoor totalmente novo no meio do conflito enquanto as operações estavam em andamento. Também rastreamos uma terceira onda de campanha usando um manual completamente diferente: envenenamento de SEO.”
"Eles construíram uma página falsa de download do SQL Developer e a colocaram no topo do Bing e do DuckDuckGo - sem spearphishing, sem trabalho falso ou
A atividade, além de abranger técnicas anteriormente não documentadas e capacidades aprimoradas, é caracterizada pelo uso de um novo backdoor de codinome MiniFast (também conhecido como MiniUpdate) que parece ter sido desenvolvido com assistência de inteligência artificial (IA), disse a Check Point em uma análise publicada na semana passada.
Afiliado ao Corpo da Guarda Revolucionária Islâmica (IRGC) do Irã, o Nimbus Manticore é mais conhecido por atingir os setores de defesa, aviação e telecomunicações usando iscas de phishing com temas profissionais. Estas campanhas também receberam o codinome Iranian Dream Job, devido a semelhanças táticas com a Operação Dream Job orquestrada por hackers norte-coreanos.
Cadeias de ataques recentes ligadas ao ator da ameaça testemunharam uma mudança na estratégia comercial, como evidenciado pelo uso do sequestro de AppDomain para entregar MiniJunk em fevereiro de 2026, seguido pela implantação do backdoor MiniFast em março e pela dependência do envenenamento de SEO para distribuir uma versão trojanizada do software SQL Developer da Oracle em abril.
Na primeira campanha observada antes do início da guerra, os funcionários dos setores de software e aviação na Arábia Saudita e na Austrália foram alvo de falsas oportunidades de carreira, enganando-os para que descarregassem um arquivo ZIP alojado no OnlyOffice. O lançamento de um executável benigno dentro do arquivo ZIP aproveitou uma técnica conhecida como sequestro de AppDomain para lançar uma DLL MiniJunk nociva.
Descobriu-se que a campanha de março de 2026 segue mais ou menos a mesma abordagem, só que desta vez o ator da ameaça também usou um instalador Zoom trojanizado como parte da sequência de ataque para lançar o binário que então aproveita o sequestro de AppDomain para implantar o MiniFast. Suspeita-se que a atividade fazia parte de uma campanha de phishing usando convites falsos para reuniões.
Há sinais de que a Nimbus Manticore usou o desenvolvimento assistido por IA para ajudar a criar o MiniFast. Isso inclui tratamento excessivo de erros e lógica de programação defensiva, padrões repetitivos de nomenclatura de funções e métodos com identificadores descritivos ou detalhados, diversas strings detalhadas de relatórios de erros e mensagens de status no estilo de depuração e organização de código modular, apesar da simplicidade geral do malware.
A Check Point disse que também observou no mês passado um site falso se passando por uma página de download do SQL Developer, enganando os visitantes que acessam a página por meio de envenenamento de SEO para baixar um instalador armado que oferece MiniFast. O desenvolvimento marca a primeira vez que o ator da ameaça recorreu a essa abordagem para entrega de malware.
“Este método de entrega de malware difere das cadeias de infecção usuais do Nimbus Manticore, que normalmente dependem de iscas de phishing com tema profissional”, disse a empresa. “Nesta campanha, o ator abusa de técnicas de otimização de mecanismos de busca registrando dezenas de domínios vinculados ao domínio falso, getsqldeveloper[.]com. Esta é provavelmente uma tentativa de aumentar a visibilidade do site por meio de sinais de reputação baseados em links.”
MiniFast é descrito como um backdoor completo projetado para persistência de longo prazo e execução remota de comandos. Ele se comunica com um servidor remoto por meio de solicitações HTTP para buscar tarefas, fazer upload de resultados de execução de comandos, exfiltrar arquivos e baixar carga útil adicional do servidor. Antes de entrar no ciclo de tarefas, o malware também transmite informações básicas do sistema ao operador.
Os comandos suportados pelo backdoor são variados, permitindo operações de arquivos, listagens de diretórios, enumeração de processos, execução de comandos via "cmd.exe", encerramento de processos usando seu PID, carregamento de DLL, criação de arquivo ZIP, persistência via tarefas agendadas e escalonamento de privilégios via comando "runas".
O backdoor também suporta a capacidade de atualizar o intervalo de pesquisa e o valor de jitter aplicado aos intervalos de beacon, de modo a randomizar a frequência com que os comandos são recuperados do servidor.
“O que se destaca é que as ambições deste grupo vão muito além da espionagem direcionada no Oriente Médio”, disse Sergey Shykevich, gerente do grupo de inteligência de ameaças da Check Point Research, em comunicado compartilhado com o The Hacker News. “Encontramos fortes indicadores de que a Nimbus Manticore usou ferramentas de IA para escrever malware com mais rapidez.”
“Eles construíram e implantaram um backdoor totalmente novo no meio do conflito enquanto as operações estavam em andamento. Também rastreamos uma terceira onda de campanha usando um manual completamente diferente: envenenamento de SEO.”
"Eles construíram uma página falsa de download do SQL Developer e a colocaram no topo do Bing e do DuckDuckGo - sem spearphishing, sem trabalho falso ou
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hackers #iranianos #implantam #minifast #e #minijunk #v2 #por #meio #de #phishing #e #envenenamento #de #seo
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário