最新消息显示,一群伊朗支持的国家黑客正在针对欧美研究机构和大学的知名员工进行鱼叉式网络攻击,推送新的后门恶意软件。
这些攻击者是臭名昭著的APT35伊朗网络间谍组织(也称为Charming Kitten和Phosphorus)的一个子组织,与伊斯兰革命卫队(IRGC)有联系,他们通过之前被入侵的帐户发送定制且难以检测的网络钓鱼电子邮件。
自2023年11月以来, Mint Sandstorm(PHOSPHORUS)的一个独特的威胁组织被观察到针对比利时、法国、加沙、以色列、英国和美国的大学和研究组织中从事中东事务的知名人士进行攻击。
在这次攻击活动中,Mint Sandstorm使用定制的网络钓鱼诱饵,试图通过社会工程手段让目标下载恶意文件。在少数情况下观察到了新的入侵后技术,包括使用名为MediaPl的新的自定义后门。
MediaPl恶意软件使用加密的通信通道与其命令与控制(C&C)服务器交换信息,旨在伪装成Windows Media Player以逃避检测。
MediaPl及其C&C服务器之间的通信使用AES CBC加密和Base64编码,在受感染设备上发现的变种具有自动终止、暂时停止、重试C&C通信以及使用_popen函数执行C&C命令的能力。
第二种基于PowerShell的后门恶意软件称为MischiefTut,有助于删除其他恶意工具并提供侦察功能,允许攻击者在被黑系统上运行命令并将输出发送到攻击者控制的服务器。
正在进行的APT35活动背后的攻击链(微软)
该APT35的关联组织专注于从高价值目标的被破坏系统中攻击和窃取敏感数据。该威胁组织此前以研究人员、教授、记者和其他了解符合伊朗利益的安全和政策问题的个人为目标而闻名。
这些与情报和政策界合作或有可能影响情报和政策界的人,对于那些寻求为伊朗等赞助其活动的国家收集情报的对手来说是有吸引力的目标。
根据这次活动中观察到的目标的身份以及与以色列-哈马斯战争相关的诱饵的使用,这次活动可能是试图收集不同意识形态的个人对与战争相关的事件的看法。
2021年3月至2022年6月期间,APT35在一场针对政府和医疗保健组织以及金融服务、工程、制造、技术、法律、电信和其他行业的公司的攻击活动中为至少 34家公司安装了此前未知的Sponsor恶意软件。
伊朗黑客组织还在攻击macOS系统时使用了前所未见的NokNok恶意软件,这是另一个旨在从受感染的Mac收集、加密和窃取数据的后门。
另一个被追踪为APT33(又名Refined Kitten或Holmium)的伊朗威胁组织自2023年2月以来针对全球数千个组织进行了广泛的密码喷洒攻击,破坏了防御产品及服务提供商,并且最近还被发现试图使用新的FalseFont恶意软件破坏防御供应商。
塞讯安全实验室持续追踪各类APT组织,并收集和还原其攻击手段,帮助企业验证自身防御体系的有效性。
您可以在塞讯安全度量验证平台中搜索关键词“APT35”及“APT33”获取上文提到的相关攻击模拟验证动作,从而验证您的安全防御体系是否能够有效应对该组织的攻击,平台以业界独有方式确保您的验证过程安全无害。