Специалисты Proofpoint обнаружилиновую целенаправленную фишинговую кампанию, нацеленную на менее чем 5 организаций в ОАЭ. Атака была направлена против компаний, работающих в сфере авиации и спутниковых коммуникаций, с целью доставки ранее неизвестного бэкдора Sosano, написанного на языке Go.
Proofpoint, обнаружившая активность в конце октября 2024 года, присвоила группировке кодовое название UNK_CraftyCamel. Одной из ключевых особенностей атаки стало использование скомпрометированной учётной записи индийской компании INDIC Electronics, которая находилась в доверительных деловых отношениях с жертвами. Фишинговые письма содержали ссылки на поддельный домен, имитирующий веб-сайт компании (“indicelectronics[.]net”), где был размещён ZIP-архив с вредоносными файлами.
Архив содержал три файла: XLS-файл, замаскированный под документ Excel, и два PDF-файла, которые оказались полиглотами . Один из файлов включал HTA-скрипт, а другой – встроенный ZIP-архив. Злоумышленники использовали файлы для обхода систем обнаружения угроз и запуска вредоносного кода.
Запуск атаки происходил следующим образом: LNK-файл в архиве активировал командную строку cmd.exe, затем mshta.exe выполнял HTA-скрипт из PDF-файла. Скрипт распаковывал ZIP-архив из второго PDF, который содержал интернет-ярлык, запускающий бинарный файл. В результате происходила загрузка изображений, содержащих зашифрованную (XOR) полезную нагрузку, которая декодировалась строкой “234567890abcdef” и приводила к запуску бэкдора Sosano.
Схема заражения Sosano (Proofpoint)
Функциональность бэкдора Sosano включала взаимодействие с C2-сервером и выполнение команд:
- sosano – получение текущего каталога или его смена,
- yangom – просмотр содержимого каталога,
- monday – загрузка и запуск следующего этапа атаки,
- raian – удаление каталога,
- lunna – выполнение команд в оболочке.
Исследователи отметили, что используемые методы не совпадают с тактиками других известных группировок. Однако анализ указывает на возможную связь кампании с Ираном, в частности с Корпусом стражей исламской революции (КСИР). Выбор целей – авиация, спутниковая связь и критически важная транспортная инфраструктура ОАЭ – свидетельствует о стремлении атакующих собирать разведывательную информацию в стратегически важных секторах.
Специалисты Proofpoint подчеркнули, что кампания отличается малым объёмом и высокой избирательностью, а применённые техники сокрытия и компрометация доверенной третьей стороны подчёркивают сложность и уровень подготовки атаки.