Як Nimbus Manticore атакує авіаційні, софтверні та нафтогазові компанії

Photo of author

CyberSecureFox Editorial Team

Іранська APT-група Nimbus Manticore (також відома як Screening Serpens і UNC1549) провела три послідовні кампанії з лютого по квітень 2026 року, націлені на організації авіаційного, розробки програмного забезпечення й нафтогазового секторів у США, Європі, на Близькому Сході та в Австралії. За даними дослідників з Check Point і Palo Alto Networks Unit 42, угруповання задіяло раніше не задокументований бекдор MiniFast, техніку AppDomain hijacking і вперше вдалося до SEO-отруєння для доставки зловмисного ПЗ — що свідчить про суттєве розширення арсеналу й зростання операційного темпу.

Три хвилі: хронологія кампаній

Згідно зі звітом Check Point Research, активність угруповання поділяється на три виразні фази, кожна з яких демонструє еволюцію тактик.

Лютий 2026: фішинг із кар’єрними приманками та MiniJunk

Перша хвиля була спрямована проти співробітників компаній у секторах розробки програмного забезпечення та авіації в Саудівській Аравії й Австралії. Жертвам пропонували фіктивні вакансії, що спонукали завантажити ZIP-архів, розміщений на платформі OnlyOffice. Під час запуску легітимного виконуваного файла з архіву використовувалася техніка AppDomain hijacking для завантаження зловмисної DLL-бібліотеки MiniJunk.

Березень 2026: троянізований Zoom і розгортання MiniFast

Друга кампанія зберегла підхід з AppDomain hijacking, але розширила вектор доставки. Угруповання використовувало троянізований інсталятор Zoom, імовірно поширюваний через підроблені запрошення на відеоконференції. Результатом ланцюжка зараження стало розгортання нового бекдора MiniFast (також позначається як MiniUpdate).

Квітень 2026: SEO-отруєння та підроблений SQL Developer

Третя хвиля ознаменувала принциповий зсув у тактиці. Замість цільового фішингу угруповання створило фальшивий сайт завантаження Oracle SQL Developer і просувало його через SEO-отруєння. Для підвищення видимості ресурсу в пошукових системах Bing і DuckDuckGo було зареєстровано десятки доменів, що посилалися на основний зловмисний домен getsqldeveloper[.]com, формуючи штучні сигнали репутації на основі посилальної маси. За даними Check Point, це перший зафіксований випадок використання Nimbus Manticore SEO-отруєння для доставки зловмисного ПЗ.

Технічний профіль бекдора MiniFast

MiniFast є повнофункціональним бекдором, спроєктованим для довготривалого закріплення та віддаленого керування. Комунікація з командним сервером здійснюється через HTTP. Перед входом в основний цикл обробки завдань шкідлива програма передає оператору базову інформацію про систему.

Набір підтримуваних команд включає:

  • Файлові операції та перегляд вмісту директорій
  • Перелік процесів і їх завершення за PID
  • Виконання команд через cmd.exe
  • Завантаження DLL-бібліотек
  • Створення ZIP-архівів
  • Закріплення через заплановані завдання (scheduled tasks)
  • Підвищення привілеїв через команду runas
  • Завантаження додаткових корисних навантажень із сервера
  • Ексфільтрація файлів

Окремо варто відзначити підтримку динамічного оновлення інтервалу опитування та значення джитера для рандомізації частоти звернень до командного сервера — механізм, що ускладнює виявлення на основі аналізу мережевого трафіку.

Контекст загрози та масштаб операцій

Nimbus Manticore історично спеціалізується на секторах оборони, авіації та телекомунікацій, застосовуючи кар’єрні фішингові приманки — підхід, що отримав назву «Iranian Dream Job» за аналогією з північнокорейською Operation Dream Job. Паралельний звіт Palo Alto Networks Unit 42 підтверджує активізацію угруповання та фіксує атаки на організації в США, Ізраїлі, ОАЕ та на Близькому Сході з використанням MiniUpdate й оновленої версії MiniJunk V2. Серед цілей, за даними Unit 42, була американська нафтогазова компанія.

Дослідники Unit 42 наголошують на глибокій персоналізації приманок: окрім підроблених вакансій, використовувалися сфабриковані запрошення на відеоконференції. Угруповання розгорнуло два сімейства RAT-варіантів в організаціях до п’яти країн, що вказує на значні операційні ресурси.

Важливе застереження: атрибуція угруповання до конкретних державних структур Ірану ґрунтується на аналітичних оцінках дослідницьких компаній, а не на офіційних урядових заявах. Твердження Check Point про можливе використання інструментів штучного інтелекту під час розробки MiniFast також є аналітичною гіпотезою, що базується на опосередкованих ознаках у коді.

Оцінка впливу

Найбільшому ризику піддаються організації авіаційного сектора, розробники програмного забезпечення, нафтогазові компанії та підприємства оборонної промисловості в США, Європі, на Близькому Сході та в Австралії. Перехід до SEO-отруєння розширює коло потенційних жертв: якщо фішинг потребує цілеспрямованого вибору адресата, то підроблена сторінка завантаження SQL Developer загрожує будь-якому розробнику, який шукає це ПЗ через пошукові системи. Це перетворює атаку з цільової на напівопортуністичну, що суттєво збільшує поверхню ураження.

Рекомендації із захисту

  • Блокування IOC: додайте домен getsqldeveloper[.]com та пов’язані з ним ресурси до чорних списків DNS і проксі-серверів
  • Контроль джерел завантаження: завантажуйте Oracle SQL Developer, Zoom та інше ПЗ виключно з офіційних сайтів виробників. Розгляньте впровадження політик, що обмежують встановлення ПЗ з неперевірених джерел
  • Моніторинг AppDomain hijacking: відстежуйте аномальне завантаження DLL .NET-застосунками, особливо з нестандартних директорій. Звертайте увагу на запуск легітимних виконуваних файлів із тимчасових папок або користувацьких каталогів завантажень
  • Виявлення поведінки MiniFast: налаштуйте правила детектування HTTP-комунікацій із характерним патерном — передача системної інформації під час першого підключення, подальше періодичне опитування зі змінним інтервалом. Відстежуйте створення запланованих завдань і використання команди runas з нетипових контекстів
  • Навчання персоналу: проведіть цільове інформування співробітників HR і технічних фахівців про фішингові кампанії з кар’єрними приманками та підробленими запрошеннями на відеоконференції
  • Мережева сегментація: обмежте вихідний HTTP-трафік з робочих станцій, застосовуючи принцип мінімальних привілеїв для мережевого доступу

Три кампанії Nimbus Manticore за три місяці — з послідовною зміною векторів доставки від фішингу до троянізованих інсталяторів і SEO-отруєння — демонструють здатність угруповання швидко адаптувати тактику. Пріоритетні дії для організацій із цільових секторів: негайне блокування відомого зловмисного домена getsqldeveloper[.]com, аудит політик завантаження програмного забезпечення та впровадження правил детектування для AppDomain hijacking і характерних патернів HTTP-комунікації MiniFast.

Photo of author

CyberSecureFox Editorial Team

Редакція CyberSecureFox висвітлює новини кібербезпеки, уразливості, malware-кампанії, ransomware-активність, AI security, cloud security та security advisories вендорів. Матеріали готуються на основі official advisories, даних CVE/NVD, сповіщень CISA, публікацій вендорів і відкритих звітів дослідників. Статті перевіряються перед публікацією та оновлюються за появи нових даних.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

CyberSecureFox

© 2026 INFO

Про сайт

Про нас

Автори

Контакти

Редакція

Редакційні стандарти

Виправлення

Правова інформація

Політика конфіденційності

Умови використання