伊朗 APT 使用更新工具针对航空和软件公司发动攻击

Check Point 报告显示，被追踪为 Nimbus Manticore 的伊朗 APT 在针对航空和软件公司的新一轮入侵中采用了新战术，并更新了其武器库。
该组织也被称为 Bohrium、Smoke Sandstorm、TA455 和 UNC1549，至少从 2022 年开始活跃，被认为是 Charming Kitten（APT35）的一个子组织，与伊朗伊斯兰革命卫队（IRGC）有关联。
此前观察到 Nimbus Manticore 使用 MiniBike 和 MiniBus 后门，针对中东和欧洲的航空航天、航空和国防组织发动攻击。
2024 年 11 月，该组织被指在针对航空航天行业的“理想工作”（Dream Job）行动中，采用了与朝鲜有关联的 Lazarus Group 的战术。
今年早些时候，谷歌警告称该 APT 持续使用虚假工作邀约针对国防领域组织发动攻击。Check Point 指出，在 2026 年 2 月启动的美国对伊朗军事行动期间及行动之后，该组织的活动仍在持续。
随着中东地缘政治紧张局势升级，Nimbus Manticore 的钓鱼活动开始使用 AppDomain 劫持执行负载，替代了此前的 DLL 侧加载。
该技术依赖于放置在目标 .NET 应用程序目录中的一个经过木马改造的 XML .config 文件，在程序启动时加载恶意 DLL。
Nimbus Manticore 使用了与之前行动类似的钓鱼诱饵，针对沙特阿拉伯和澳大利亚航空和软件公司的员工，诱导他们从 OnlyOffice 平台下载压缩 ZIP 压缩包，最终导致感染新版本的 MiniJunk 后门。
在另一轮行动中，该 APT 使用伪装成美国本土航空公司的工作邀约作为诱饵，最终投放了经过木马改造的 Zoom 安装程序。通过 AppDomain 劫持，感染链最终部署了一个名为 MiniFast 的新型后门。
该后门以 64 位 Windows PE DLL 的形式部署，会伪装成 Chrome 浏览器，设计用于长期驻留和远程命令执行。
它还允许攻击者操纵文件、窃取文件、枚举进程、终止进程、操作目录、创建计划任务，并部署更多负载。
Check Point 指出：“Nimbus Manticore 展现出强大的快速适应能力、基础设施维护能力和新工具开发能力。我们评估，这种能力很可能至少部分得到了基于 LLM 的工具和 AI 辅助开发技术的支持。”
4 月，观察到 Nimbus Manticore 使用虚假的 SQL Developer 下载网站分发 MiniFast 后门。该行动滥用了搜索引擎优化技术，依赖数十个域名链接到该虚假网站以提升其排名。
Check Point 表示：“在我们进行分析时，该恶意域名在多个搜索引擎（如 Bing 和 DuckDuckGo）针对‘sql developer’查询的结果中排名很高。这增加了搜索合法 SQL Developer 下载的用户访问到该网站的可能性。”
虽然 Nimbus Manticore 的典型行动主要集中在中东、欧洲和非洲，主要针对以色列和阿拉伯联合酋长国，但最新的行动也显示出其转向针对美国组织的趋势。
Check Point 指出：“伪造的招聘门户网站伪装成航空公司，用于攻击该行业的员工和组织。本次行动中（攻击者）伪装成美国国内航空公司，表明其故意将重点放在美国目标上。”