伊朗 APT 使用BellaCiao​​恶意软件攻击美国、欧洲和亚洲的目标

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

伊朗政府支持的黑客组织被指控向美国、欧洲、印度、土耳其和其他国家的多名受害者部署了一种名为 BellaCiao 的新型恶意软件。

网络安全公司 Bitdefender 的研究人员将该恶意软件归咎于 APT35/APT42（也称为 Mint Sandstorm 或 Charming Kitten），这是一个高级持续威胁组织，据称由伊朗伊斯兰革命卫队 (IRGC) 运营。

Bitdefender 技术解决方案总监 Martin Zugec 告诉 Recorded Future News，恶意软件开发人员将该恶意软件命名为 BellaCiao，指的是一首关于抵抗战斗的意大利民歌。

BellaCiao 是一种植入式恶意软件，旨在根据攻击者的指令将其他恶意软件传送到受害者的设备上。

“它的设计完全是隐身的，与威胁者沟通不多。它在工作时完全被动地接收指令。我以前从未见过他们使用的技术，”他说。

“每个植入物都是为特定受害者定制的。它经过精心设计，在最初的入侵后，几乎可以进入隐身模式。在受害者准备将其访问权限武器化之前，它不会做任何事情。”

Zugec 表示，根据对多名受害者的分析，黑客显然根据研究人员发现的文件夹名称按国家/地区对受害者进行分类。他们发现了以以色列、土耳其、奥地利、印度和意大利命名的文件夹。

Zugec 表示，他们无法确定最初的感染媒介，但表示主要目标是 Microsoft Exchange 服务器，这意味着黑客很可能使用了流行的 Microsoft Exchange 漏洞链之一，如 ProxyShell 或 ProxyNotShell。Zugec 指出，Charming Kitten 组织在攻击过程中也被发现使用 Log4j 漏洞。

BellaCiao 部署后，会立即尝试禁用 Microsoft Defender。Bitdefender 表示，该恶意软件随后会为其他病毒打开大门，这些病毒通常用于“间谍、数据盗窃、勒索软件/敲诈勒索等目的”。

该活动“高度复杂”，Bitdefender 表示目前正在进行中。

“我们认为，这次攻击是继机会性攻击之后的下一个阶段。Charming Kitten 会不加区分地寻找易受攻击的系统（利用漏洞攻击），然后针对受感染的组织开发定制恶意软件（BellaCiao）并进行远程部署，”研究人员表示。

微软（将该组织称为“Mint Sandstorm”）上周报告称，同一伊朗黑客组织在 2021 年和 2022 年的大部分时间里直接针对“美国关键基础设施，包括海港、能源公司、交通系统以及美国一家大型公用事业和天然气实体”。

微软解释说：“伊朗威胁行为者的攻击性增强似乎与伊朗政权在新的国家安全机构下采取的其他举措有关，这表明此类团体的行动不受约束。”

“鉴于德黑兰决策者的强硬共识以及此前对伊朗安全组织实施的制裁，Mint Sandstorm 分支在开展恶意网络活动时可能不会受到太大限制。”

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：伊朗 APT 使用“BellaCiao”​​恶意软件攻击美国、欧洲和亚洲的目标