导 读
伊朗情报和安全部(MOIS)下属的网络行动已成为该国黑客的复杂初始访问代理,为中东各地电信和政府组织的系统提供持续入口。
谷歌旗下的 Mandiant 公司周四发布了一份关于命名为 UNC1860 网络活动的报告。研究人员称,与该部门有关联的黑客开发了一系列令人印象深刻的专用工具和被动后门,这些工具和后门将继续协助伊朗的其他黑客行动。
Mandiant 解释说:“据报道,这些组织为针对以色列的破坏性和破坏性行动提供了初步途径,这些行动于 2023 年 10 月下旬使用 BABYWIPER 针对以色列,于 2022 年使用 ROADSWEEP 针对阿尔巴尼亚。”
Mandiant指出,虽然他们无法独立确认 UNC1860 是否参与了这两次行动,但他们发现了“可能旨在促进交接操作”的工具。
Mandiant 表示,UNC1860 的一个关键特性包括“维护这一系列多样化的被动/监听式设施,以支持该组织的初始访问和横向移动目标。”
这些工具旨在逃避反病毒软件的监控并提供系统的秘密访问,以用于各种目的。
Mandiant 称 UNC1860 是一个“强大的APT组织”,可能支持“从间谍活动到网络攻击行动等各种目标”。
该安全公司发现 UNC1860 的工具被其他与 MOIS 有关联的黑客组织使用的证据,例如APT34——一个著名的伊朗威胁组织,负责入侵约旦、以色列、沙特阿拉伯等国的政府系统。上周,研究人员发现了一项针对伊拉克政府官员的广泛 APT34 行动。
Mandiant 表示,该公司于 2020 年受聘应对 UNC1860 使用未具名受害者的网络扫描 IP 地址并暴露漏洞的事件,这些漏洞主要位于沙特阿拉伯。该公司还发现 UNC1860 对卡塔尔域名感兴趣的证据。
该公司补充说,2024 年 3 月针对以色列组织的擦除恶意软件活动中使用的工具也可能归因于 UNC1860。
Mandiant 表示:“在取得初步立足点后,该组织通常会部署额外的实用程序和一套选择性的被动植入物,这些植入物的设计比普通的后门更为隐蔽。”
其他公司过去也曾重点关注 UNC1860 的工具,其中包括思科、Check Point和Fortinet。
随着伊朗黑客组织网络行动变得越来越明目张胆,其受到安全研究人员和政府机构的越来越大的关注。
Mandiant 表示:“随着中东紧张局势持续起伏,我们认为,该攻击者在获取目标环境初始访问权方面的娴熟技能,对伊朗网络生态系统而言是一笔宝贵的资产,可随着需求的变化而用于应对不断变化的目标。”
技术报告:https://cloud.google.com/blog/topics/threat-intelligence/unc1860-iran-middle-eastern-networks/
新闻链接:
https://therecord.media/iran-backdoors-planted-across-middle-east-telecoms-government-orgs
今日安全资讯速递
APT事件
Advanced Persistent Threat
谷歌称伊朗在中东电信公司和政府机构中植入后门
https://therecord.media/iran-backdoors-planted-across-middle-east-telecoms-government-orgs
伊朗黑客试图窃取特朗普信息,以引起拜登竞选团队的兴趣,但未能成功
https://www.securityweek.com/iranian-hackers-tried-but-failed-to-interest-bidens-campaign-in-stolen-trump-info-fbi-says/
美国FBI捣毁一个大规模僵尸网络,该网络入侵全球超过260,000 台设备
https://www.cybersecuritydive.com/news/us-takedown-china-botnet/727501/
朝鲜黑客利用虚假职位诱骗关键基础设施员工
https://www.securityweek.com/north-korean-hackers-lure-critical-infrastructure-employees-with-fake-jobs/
朝鲜黑客利用 RustDoor 恶意软件攻击 LinkedIn 上的加密货币用户
https://thehackernews.com/2024/09/north-korean-hackers-target.html
网络攻击后德国广播电台被迫播放“音乐备份”
https://therecord.media/germany-cyberattack-radio-geretsried
研究人员称,与 Kimsuky 有关的黑客使用类似策略攻击俄罗斯和韩国
https://therecord.media/kimsuky-north-korea-hackers-targeting-russia-south-korea
一般威胁事件
General Threat Incidents
微软:INC 勒索软件关联公司瞄准美国医疗保健行业
https://www.securityweek.com/microsoft-us-healthcare-sector-targeted-by-inc-ransomware-affiliate/
黑客利用 FOUNDATION 软件中的默认凭证入侵建筑公司
https://thehackernews.com/2024/09/hackers-exploit-default-credentials-in.html
与巴西有关的新型 SambaSpy 恶意软件通过钓鱼电子邮件攻击意大利用户
https://thehackernews.com/2024/09/new-brazilian-linked-sambaspy-malware.html
TeamTNT 新型加密劫持活动利用 Rootkit 攻击 CentOS 服务器
https://thehackernews.com/2024/09/new-teamtnt-cryptojacking-campaign.html
德国查获勒索软件团伙使用的 47 家加密货币交易所
https://www.bleepingcomputer.com/news/security/germany-seizes-47-crypto-exchanges-used-by-ransomware-gangs/
欧洲刑警组织取缔用于跨国网络犯罪的“Ghost”加密信息平台
https://www.bleepingcomputer.com/news/security/europol-takes-down-ghost-encrypted-messaging-platform-used-for-crime/
漏洞事件
Vulnerability Incidents
CISA:Oracle 的“奇迹漏洞”漏洞成为攻击目标
https://www.securityweek.com/cisa-oracle-vulnerabilities-from-miracle-exploit-targeted-in-attacks/
Atlassian 修补 Bamboo、Bitbucket、Confluence 和 Crowd 中的漏洞
https://www.securityweek.com/atlassian-patches-vulnerabilities-in-bamboo-bitbucket-confluence-crowd/
GitLab 修补关键身份验证绕过漏洞
https://www.securityweek.com/gitlab-patches-critical-authentication-bypass-vulnerability/
Ivanti 警告称,云服务设备CSA 存在另一个关键漏洞,可能被用于攻击
https://www.bleepingcomputer.com/news/security/ivanti-warns-of-another-critical-csa-flaw-exploited-in-attacks/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):Mandiant称伊朗在中东电信公司和政府机构中植入后门
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论