【安全资讯】伊朗“梦想工作”活动针对航空航天行业，传播SnailResin恶意软件

概要：

最近，ClearSky网络安全公司揭露了一项新的伊朗网络活动，针对航空航天行业实施了一项欺骗性的“梦想工作”计划。该活动通过诱人的职位邀请，向航空、航空航天和国防领域的专业人士传播SnailResin恶意软件，显示出网络攻击者的狡诈与技术进步。

主要内容：

这项被称为伊朗“梦想工作”计划的活动，背后的攻击者是被称为“Charming Kitten”的伊朗威胁组织的子团体TA455。攻击者通过伪装成招聘人员，利用LinkedIn等合法平台接触目标，创建看似可信的前台，提供丰厚的工作机会。一旦目标上钩，他们会被引导至一个伪装成招聘网站的恶意网站，进而传播SnailResin恶意软件，攻击者借此获取敏感信息并可能干扰目标组织的运营。

ClearSky的调查发现，此次活动与之前的攻击存在有趣的联系，攻击者在早期活动中使用的LinkedIn个人资料再次出现，进一步巩固了与TA455的关联。为了进一步规避检测，TA455采用了DLL侧加载、高级混淆等多种技术，并利用GitHub托管编码的指令与控制（C2）信息，通过将C2通信嵌入看似无害的GitHub文件中，TA455成功“融入合法流量”，降低了被发现的风险。

此外，此次活动的战术和工具与北朝鲜Lazarus APT组织使用的手段有相似之处，这引发了ClearSky的猜测，认为Charming Kitten可能故意模仿Lazarus集团以掩盖其活动，或两者之间可能存在令人担忧的合作。自2023年9月以来，这项活动一直在进行，反映出伊朗在针对国家安全关键领域的网络能力不断演变，强调了航空航天、航空和国防行业在全球范围内对敏感信息和基础设施的持续关注。