大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
一名与伊朗情报和安全部 (MOIS) IIS 有关联的新威胁行为者被发现正在进行网络间谍活动。他们的目标是中东的政府、军事、金融和电信部门。
该威胁行为者以 Scarred Manticore 的名称进行追踪,与另外两个威胁行为者Storm-0861和 OilRig 密切相关。此外,他们的受害者已在沙特阿拉伯、阿拉伯联合酋长国、约旦、科威特、阿曼、伊拉克和以色列等多个国家/地区报告。
狮尾框架
对于恶意软件活动,Scarred Manticore 使用新型恶意软件框架 LIONTAIL。该恶意软件框架包括一组自定义 shellcode 加载器、内存驻留 shellcode 有效负载以及用 C 编写的后门。
该后门安装在 Windows 服务器上,使威胁行为者能够通过 HTTP 请求执行远程命令。此外,后门还为其配置中提供的 URL 列表设置侦听器,并根据威胁行为者发送到这些特定 URL 的请求执行有效负载。
自 2019 年起存在
该威胁行为者至少自 2019 年以来一直活跃。他们在中东地区组织的面向互联网的受感染Windows 服务器上部署了多种工具。
此外,他们的工具集似乎经历了重大的发展;它开始是一个基于开源的 Web 部署代理,并发展成为一个多样化且强大的工具集,它同时利用了定制和开源组件。
不过, Checkpoint 已经发布了关于该威胁行为者的完整报告,其中提供了有关威胁行为者的行为、代码分析、初始访问、C&C 通信、攻击方法等详细信息。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):伊朗 APT 组织利用基于 IIS 的后门攻击 Windows 服务器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论