APT-Nimbus Manticore nutzt gefälschte Stellenangebote zur Verbreitung von Schadsoftware

Eine staatlich verbundene Hackergruppe wurde dabei ertappt, wie sie eine sorgfältig inszenierte Fake-Rekrutierungskampagne durchführte, um an unschuldige Opfer herantretend maßgeschneiderte Malware zu verteilen.

Die Grup Eine staatlich verbundene Hackergruppe wurde dabei ertappt, wie sie eine sorgfältig inszenierte Fake-Rekrutierungskampagne durchführte, um an unschuldige Opfer herantretend maßgeschneiderte Malware zu verteilen.

Die Gruppe, die als Nimbus Manticore bekannt ist und ebenfalls unter den Bezeichnungen UNC1549 und Smoke Sandstorm geführt wird, hat eine lange Geschichte der Angriffe auf Fachkräfte in den Luft- und Raumfahrt- sowie Verteidigungssektoren im Nahen Osten und in Europa.

Ihre jüngste Kampagne zeigt einen deutlichen Sprung in der technischen Sophistikaion, indem sie Engineering mit einer mehrstufigen Malware-Lieferkette kombiniert, die schwer zu erkennen ist. Die Angreifer begannen damit, Mitarbeiter über LinkedIn über ein täuschend echtes, aber gefälschtes Recruiter-Profil zu kontaktieren.

Die Persona gab vor, Talente für Ebix, ein reales Unternehmen im Bereich Versicherungstechnologie und Bankentechnologie, zu rekrutieren, und lockte mit einem Gehaltsangebot von 200.000 US-Dollar, um das Angebot attraktiver zu gestalten.

Die Opfer wurden daraufhin zu einem polierten, gefälschten Bewerbungsportal unter ebix[.]recruitment-flow[.]com geleitet, das vor der Bereitstellung Login-Daten erforderte. Analysten ügelte Infektionskette durch Sideloading während eines jüngeren Incident-Response-Einsatzes und ordneten die Aktivität mit hoher Sicherheit der Gruppe Nimbus Manticore zu.