Под видом вежливых HR-рекрутеров на LinkedIn злоумышленники из кластера, известного как UNC1549 (в этой статье — «Subtle Snail», потому что ничто так не маскируется, как с виду скромная улитка), провели прицельную кампанию против телеком-компаний и сумели заразить 34 устройства в 11 организациях. Цель простая и неприятная: доверие → интерес к вакансии → клик по «интервью-ссылке» → запуск зловреда. В мире, где собеседование через Zoom может быть фишинговым, даже резюме стало опасным.
Атака начиналась как классический социальный инжиниринг, но с маркетинговой изюминкой: операторы тщательно выстраивали LinkedIn-профили HR, проводили разведку, выбирали сотрудников с нужными доступами (разработчики, сисадмины, администраторы) и втягивали их в переписку. В случае успеха жертве приходило письмо с якобы официальным доменом и приглашением «согласовать время собеседования» — переходом по ссылке, который автоматически скачивал архив с вредоносной «вакансией». По сути, вместо offer-letter — backdoor-offer.
Внутри архива — исполняемый файл, который запускает модульную нагрузку MINIBIKE через технику DLL side-loading. MINIBIKE — не какой-то «скрипт на коленке», а продвинутый, модульный бэкдор: сбор системной информации, запись клавиатуры и буфера обмена, кража почтовых учёток, извлечение данных из браузеров и скриншоты. Зловред умело прячется: уникальные DLL для каждой жертвы, анти-ана́лиз, обходы песочниц и смешивание C2-трафика с легитимными запросами в облако — всё как в учебнике «Как сделать шпионский набор 2.0». Хакерское замечание: если вам пришло «приглашение на собеседование» в пятницу вечером — возможно, вас просто тестируют на стресс-устойчивость, безопасностью в комплекте не поставляется.
Особая «фишка» кампании — использование Azure и VPS в качестве прокси для C2-трафика, что помогает маскировать командно-управляющие соединения под нормальное облачное поведение. Кроме того, MINIBIKE умеет прописываться в автозагрузке через реестр, чтобы пережить перезагрузку, и действует аккуратно, чтобы не светиться лишний раз. По сути, атакующие комбинируют разведку человека и боевую кибер-инфраструктуру: social engineering + инженерия — рецепт с долгосрочным доступом.
Чем это опасно? Помимо очевидной кражи данных и учёток, подобные кампании дают злоумышленникам возможность выстраивать долговременную персистенцию в критичных сетях телекомов: VPN-конфигурации, корпоративная почта, внутренние диаграммы — всё, что нужно для дальнейшего шпионажа или подготовки ударов по инфраструктуре. И да, когда HR-человек просит резюме, а вы ему шлёте список паролей — это уже не шутка, это инцидент.
Что делать защитникам (коротко и по-деловому): усиливать процедуру проверки внешних предложений по работе, обучать сотрудников распознавать целевые ловы, контролировать загрузки с внешних доменов и схему запуска исполняемых файлов, мониторить подозрительную активность, анализировать нетипичные соединения с облачными провайдерами и держать под контролем автозагрузки и необычные DLL. И да, если HR в LinkedIn предлагает перейти по ZIP-ссылке — посылайте резюме на бумажном голубе. (Шутка — но задумайтесь.)
Итог: Subtle Snail/UNC1549 в очередной раз показал, что в кибершпионаже ключевым остаётся человек, а не только уязвимость в ПО. Пока специалисты ищут «новые эксплойты», злоумышленники продолжают использовать старую добрую технику — обман доверия — но с современным технологическим обслуживанием. Хакерский финал: не все рекрутеры в LinkedIn добры — некоторые просто ищут, кого бы превратить в «снабженца данных».
Берегите себя и свои нервы.
📘 Понравилась статья?
Больше практики и реальных заданий — в Kraken Academy.
А чтобы точно ничего не пропустить — подпишись на наш Telegram-канал.
Рекомендуемые статьи
