Press Release: Grupo iraniano Nimbus Manticore expande operações para a Europa, utilizando falsos portais de emprego e spear-phishing para atingir setores de defesa, telecomunicações e aeroespacial com malware avançado.
Desde o início de 2015 que a Check Point Research (CPR), equipa de investigadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança, tem acompanhado sucessivas ondas de atividade do Nimbus Manticore, um grupo APT (Ameaça Persistente Avançada) iraniano altamente sofisticado e apoiado pelo Corpo de Guardas da Revolução Islâmica (IRGC).
Também referido como UNC1549 ou Smoke Sandstorm, e anteriormente associado à campanha “Iranian Dream Job”, o grupo tem como principais alvos várias organizações no setor da defesa e aeroespacial no Médio Oriente e na Europa.
O grupo é sobretudo conhecido pelas suas campanhas de spear-phishing direcionado que distribuem implantes personalizados, incluindo o Minibike (também designado SlugResin). Desde que foi identificado pela primeira vez em 2022, o Minibike tem evoluído com novas técnicas de ofuscação, arquitetura modular e infraestrutura de comando e controlo redundante.
As atividades mais recentes mostram um salto significativo de sofisticação: uma técnica inédita para carregar DLLs a partir de caminhos alternativos, modificando parâmetros de execução do processo. Esta variante, apelidada MiniJunk, demonstra como o Nimbus Manticore evolui continuamente o seu arsenal para contornar sistemas de deteção.
O novo relatório da CPR destaca a evolução do Minibike em direção ao MiniJunk, a utilização de falsos portais de recrutamento para entrega de malware, a análise das vítimas no Médio Oriente e na Europa Ocidental, bem como as implicações mais amplas para os setores da defesa, telecomunicações e aviação.
A cadeia de infeção começa com links de phishing que direcionam as vítimas para páginas falsas de login relacionadas com oportunidades de emprego. Estes sites imitam marcas de referência como Boeing, Airbus, Rheinmetall ou flydubai, utilizando templates em React que adaptam a aparência ao nome da empresa imitada.
Os domínios seguem, em geral, um tema associado a carreiras e estão registados por trás da infraestrutura da Cloudflare, escondendo a verdadeira origem do alojamento. O acesso é controlado: cada vítima recebe credenciais únicas e só ao introduzi-las corretamente é que lhe é entregue um ficheiro malicioso em formato de arquivo, o que permite aos atacantes monitorizar cada alvo individual e bloquear visitantes não desejados.
As ferramentas mais recentes do Nimbus Manticore têm dois objetivos principais. O MiniJunk permite manter acesso persistente e discreto nos sistemas comprometidos, enquanto o MiniBrowse é usado para roubar informação sensível sem despertar suspeitas. Ambos são atualizados regularmente, prolongando a sua eficácia, evitando serem identificados pelas soluções de segurança e permitindo assim uma espionagem continuada.
Paralelamente às operações com o MiniJunk, a Check Point Research observou um cluster de atividade paralela, anteriormente reportado pela PRODAFT. Este conjunto de ataques utiliza cargas maliciosas mais pequenas e técnicas mais simples, sem o mesmo nível de ofuscação identificado no MiniJunk. No entanto, a metodologia mantém-se: o spear-phishing e os falsos processos de recrutamento continuam a ser a base da operação.
Na prática, os atacantes aplicam métodos semelhantes, ainda que com menor complexidade técnica, mas com o mesmo objetivo: enganar as vítimas para obter acesso privilegiado e, em última instância, roubar informação sensível das empresas visadas.
Também aqui, os cibercriminosos assumem a identidade de recrutadores de recursos humanos, recorrendo frequentemente ao LinkedIn ou a outras plataformas profissionais para o primeiro contacto. Após estabelecer ligação, transferem a comunicação para e-mail e enviam mensagens via Outlook que encaminham as vítimas para portais de recrutamento personalizados. Tal como nas campanhas do MiniJunk, cada portal é criado com credenciais únicas para cada alvo, permitindo aos atacantes manter elevado controlo e visibilidade sobre o processo.
A Check Point Harmony Email & Collaboration bloqueou uma destas tentativas contra um fornecedor de telecomunicações em Israel, sublinhando como ambos os clusters de atividade partilham as mesmas táticas enganosas e a mesma amplitude de alvos.
Embora o Nimbus Manticore tenha tradicionalmente visado organizações no Médio Oriente, em especial em Israel e nos Emirados Árabes Unidos, as operações recentes demonstram um interesse crescente na Europa Ocidental, com ataques registados na Dinamarca, Suécia e Portugal.
Os setores prioritários incluem telecomunicações (com particular enfoque em fornecedores de serviços de satélite), defesa, aeroespacial e companhias aéreas. Estes alvos alinham-se com os objetivos estratégicos da IRGC, centrados na recolha de inteligência em áreas críticas.
Ao longo do último ano, o Nimbus Manticore expandiu o seu arsenal de malware e tornou os seus métodos de entrega mais sofisticados, alargando assim o leque de vítimas. A evolução do Minibike para o MiniJunk, a criação do MiniBrowse e o aperfeiçoamento das campanhas de spear-phishing são exemplo disso.
Para enfrentar esta ameaça, a Check Point recomenda uma abordagem de segurança em múltiplas camadas, incluindo:
- Check Point Harmony Email & Collaboration para prevenção de spear-phishing, portais de emprego falsos e anexos maliciosos antes de chegarem ao utilizador;
- Harmony Endpoint para proteção avançada contra malware em dispositivos, mesmo se a defesa inicial for ultrapassada;
- Quantum Network Security para bloqueio de tráfego malicioso à entrada da rede, prevenindo o download de ficheiros, comunicações C2 e exfiltração de dados.
A Check Point Research continuará a monitorizar de perto as operações do Nimbus Manticore e a partilhar informações que reforcem a resiliência das organizações contra campanhas de espionagem de origem estatal.
Para mais detalhes técnicos, consulte a análise completa publicada pela Check Point Research: Nimbus Manticore Deploys New Malware Targeting Europe.
Siga a Check Point Software:
- X: http://www.twitter.com/checkpointsw
- Blog: http://blog.checkpoint.com
- YouTube: http://www.youtube.com/user/CPGlobal
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (www.checkpoint.com) é um fornecedor líder de plataformas de cibersegurança alimentadas por IA e fornecidas na cloud, protegendo mais de 100.000 organizações em todo o mundo. A Check Point aproveita o poder da IA em todo o lado para melhorar a eficiência e a precisão da cibersegurança através da sua Plataforma Infinity, com taxas de captura líderes na indústria, permitindo uma antecipação proativa de ameaças e tempos de resposta mais inteligentes e rápidos. A plataforma abrangente inclui tecnologias fornecidas pela cloud que consistem em Check Point Harmony para proteger o espaço de trabalho, Check Point CloudGuard para proteger a cloud, Check Point Quantum para proteger a rede e Check Point Infinity Core Services para operações e serviços de segurança colaborativos.
Mais informações aqui.
