Hacker prendono di mira l’aerospaziale con false offerte di lavoro e malware nascosti

Una recente campagna cyber, conosciuta come la campagna “Iranian Dream Job”, sta prendendo di mira i dipendenti nei settori aerospaziale, aviazione e difesa, promettendo offerte di lavoro allettanti.

La società di cybersecurity ClearSky ha rivelato che questa campagna è opera di un gruppo collegato all’organizzazione di hacking iraniana conosciuta come “Charming Kitten” (anche chiamata APT35).

La campagna mira a infiltrarsi nelle aziende bersaglio e rubare informazioni sensibili ingannando gli individui a scaricare software malevoli mascherati da materiali legati al lavoro.

ClearSky afferma che la truffa del “Lavoro dei Sogni” coinvolge profili falsi di reclutatori su LinkedIn, spesso utilizzando aziende fittizie per attirare le vittime a scaricare malware. Il malware in questione, chiamato SnailResin, infetta il computer della vittima, consentendo agli hacker di raccogliere dati riservati e monitorare le attività all’interno della rete.

ClearSky evidenzia che questi hacker hanno affinato le loro tecniche, ad esempio utilizzando servizi cloud autentici come Cloudflare e GitHub per nascondere collegamenti malevoli, rendendo la rilevazione difficile.

È interessante notare che gli hacker iraniani hanno adottato le tattiche dal gruppo Lazarus della Corea del Nord, che ha introdotto la truffa del “Lavoro dei sogni” nel 2020. Riflettendo l’approccio di Lazarus, gli hacker iraniani inducono in errore gli investigatori, rendendo più difficile risalire gli attacchi a loro.

ClearSky spiega che l’attacco utilizza un metodo chiamato DLL side-loading, che permette al malware di infiltrarsi in un computer fingendosi un file software legittimo. Questa tecnica, insieme all’uso di file criptati e codifica complessa, aiuta gli hacker a eludere le comuni misure di sicurezza.

Secondo ClearSky, il malware riesce a evadere molti programmi antivirus, con solo pochi strumenti di sicurezza in grado di identificarlo. Da settembre 2023, la campagna “Dream Job” dell’Iran si è adattata ed evoluta, aggiornando regolarmente le sue tattiche e malware per rimanere sempre un passo avanti alle difese della cybersecurity, afferma ClearSky.

Importanti aziende di cybersecurity, tra cui Mandiant, hanno rilevato la sua attività in vari paesi, soprattutto in Medio Oriente, sottolinea ClearSky. Mettono in luce la sua persistenza e sofisticazione, notando che la struttura della campagna cambia frequentemente, rendendola una minaccia costante per le industrie bersaglio.

ClearSky avverte che le organizzazioni nei settori aerospaziale, della difesa e in settori simili ad alto rischio dovrebbero rimanere vigili e adottare misure proattive per combattere questi tipi di attacchi.

Istruendo i dipendenti sui rischi del phishing e delle false offerte di lavoro e implementando protocolli di sicurezza robusti, le aziende possono contribuire a ridurre la vulnerabilità a queste minacce informatiche altamente ingannevoli.