Mandiant报告：疑似伊朗黑客组织 UNC1549 针对以色列和中东航空航天和国防部门

Mandiant安全研究人员表示，正在进行的针对中东航空航天和国防工业的网络间谍活动似乎与伊朗有关，该活动使用独特的恶意软件进行攻击。

谷歌云网络安全部门Mandiant 发布报告（https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east）表示，此次行动的目标是以色列和阿拉伯联合酋长国（阿联酋）的实体，也可能是土耳其、印度和阿尔巴尼亚。

该活动早在 2022 年 6 月就开始了，似乎与 Mandiant 追踪的一个名为 UNC1549 的伊朗组织有关，该组织与另一个标记为 Tortoiseshell 的黑客行动重叠。

该组织的打击名单包括以色列航运公司以及美国航空航天和国防公司，有报道称其与伊朗伊斯兰革命卫队（IRGC）有关。本月早些时候，美国制裁了伊斯兰革命卫队的一名袭击供水设施的成员。

研究人员表示，鉴于人们对国防相关实体的关注，以及最近因以色列与哈马斯战争而与伊朗关系紧张，伊朗革命卫队的潜在联系“值得注意”。伊朗公开支持加沙的哈马斯武装分子。

Mandiant 观察到 UNC1549“部署了多种规避技术来掩盖他们的活动，最突出的是广泛使用 Microsoft Azure 云基础设施以及社会工程计划来传播两个独特的后门：MINIBIKE 和 MINIBUS。”

MINIBIKE 恶意软件首次发现于 2022 年 6 月，最后一次出现于 2023 年 10 月。Mandiant 表示，它能够“窃取和上传文件、执行命令等”，并且使用 Azure 云基础设施。

与此同时，MINIBUS 是一个“定制后门，提供更灵活的代码执行接口和增强的侦察功能”，研究人员表示。他们第一次发现它是在 2023 年 8 月，最近也是在 1 月份才看到它。

这两种恶意软件涵盖了常见的网络间谍活动清单，包括收集登录凭据以进行进一步的间谍活动，或运行其他恶意代码为更多活动扫清道路。

研究人员还发现了一个定制的“隧道”，他们将其标记为 LIGHTRAIL。隧道本质上是通过将互联网流量包装在其他流量中来隐藏恶意活动。

参考链接：https://therecord.media/iran-cyber-espionage-campaign-targeting-middle-east-defense-aerospace