🔗Nimbus Manticore: DLL sideload через Defender и новая эволюция MiniJunk / MiniBrowse

Check Point Research зафиксировали новую волну атак Nimbus Manticore (также известной как UNC1549 / Smoke Sandstorm / «Dream Job»). Происхождение группы связывают с Ираном и в этот раз она сместила фокус на Европу — под ударом оказались оборонные подрядчики, телеком и авиация в Дании, Швеции и Португалии.

🎣 Вектор атаки
Акторы используют таргетированный HR-фишинг. Жертве приходит письмо от якобы рекрутера с приглашением на вакансию и ссылкой на фейковый карьерный портал (имитируют Airbus, Boeing, Rheinmetall, FlyDubai). Для входа выдаются заранее подготовленные креды, что повышает правдоподобие и позволяет трекать каждого пользователя. После логина скачивается ZIP-архив с «установщиком».

⚙️ Цепочка заражения
Главная новинка multi-stage DLL sideloading.
1) Жертва запускает Setup.exe из архива, который подгружает userenv.dll.
2) userenv.dll отсюда инструкции запуска с помощью низкоуровневых NT-API (RtlCreateProcessParameters / RtlCreateUserProcess) легитимного компонента Windows Defender — SenseSampleUploader.exe, но с подменённым параметром DllPath.
3) Из-за этой подмены процесс ищет xmllite.dll не в системных каталогах, а в папке с Setup → загружается вредоносная версия DLL.
4) Дальше происходит закрепление: все файлы копируются в %AppData%\Local\Microsoft\MigAutoPlay\, создаётся scheduled task и выводится фейковое окно с ошибкой, чтобы жертва ничего не заподозрила.

По сути, это не баг в Defender, а аккуратное злоупотребление механизмом загрузки модулей Windows.

🛠 Инструменты
MiniJunk — новая итерация известного Minibike/SlugResin.
• классический бэкдор (файловые операции, запуск процессов, загрузка DLL);
• сильная обфускация на уровне компилятора (junk-код, opaque predicates, шифрование строк);
• подписанные сертификатами SSL.com бинарники и искусственно раздутый размер файлов, что заметно снижает детект на VirusTotal;
• C2 через HTTPS с резервированием (3–5 доменов, Azure App Service + Cloudflare).
MiniBrowse — браузерный стилер.
• отдельные варианты для Chrome и Edge;
• крадёт логины/пароли, отправляет их в JSON через POST или через named pipes;
• необычный приём: C2 должен отвечать любым HTTP-кодом, кроме 200.

🌐 Инфраструктура
домены: telespazio-careers[.]com, boeing-careers[.]com, rheinmetallcareer[.]org.
Сервисы на *.azurewebsites.net и *.cloudapp.azure.com, часто с health- и career-тематиками (check-backup-service-288.azurewebsites.net, asylimed.azurewebsites.net).
Маскировка и резервы через Cloudflare.

🔍 Что искать
Появление %AppData%\Local\Microsoft\MigAutoPlay\ с файлами MigAutoPlay.exe, userenv.dll, xmllite.dll.
Запуск SenseSampleUploader.exe не от системных процессов, а от стороннего Setup.exe.
Sysmon EID7: загрузка DLL из профиля пользователя или временных директорий.
Новые Scheduled Tasks, запускающие MigAutoPlay.exe.
Исходящие подключения Defender/MigAutoPlay к azurewebsites.net.
В браузерных логах — обращения MiniBrowse к C2 с нестандартными HTTP-кодами.

⚔️ Итог
Nimbus Manticore продолжает наращивать арсенал и демонстрирует высокий уровень OPSEC.
Multi-stage DLL hijack через Defender показывает умение злоупотреблять системными API.
MiniJunk стал полноценным модульным бэкдором с тяжёлой обфускацией и минимальным детектом.
MiniBrowse фокусируется на кражах браузерных данных.
Вся инфраструктура вынесена в облако (Azure + Cloudflare), что усложняет блокировки.
Это ещё один пример того, как иранские APT играют на длинной дистанции: с кастомными тулсетами, облачной инфраструктурой и прицельным интересом к стратегическим секторам Европы.

🔗 https://research.checkpoint.com/2025/nimbus-manticore-deploys-new-malware-targeting-europe/
🦔 THF