微软报告：伊朗 APT 组织冒充著名记者进行巧妙的鱼叉式网络钓鱼攻击

微软的恶意软件猎人周三警告说，一个已知与伊朗军事情报部门有联系的 APT组织一直在冒充一名著名记者，诱骗特定人群下载恶意文件。

这些定制的鱼叉式网络钓鱼攻击自去年 11 月以来一直在持续，目标是比利时、法国、加沙、以色列、英国和美国的大学和研究机构中从事中东事务的知名人士。

根据微软关于这一发现的文档（https://www.microsoft.com/en-us/security/blog/2024/01/17/new-ttps-observed-in-mint-sandstorm-campaign-targeting-high-profile-individuals-at-universities-and-research-orgs/），所谓“Mint Sandstorm”黑客是“耐心且技术精湛的社会工程师，他们的技术缺乏许多允许用户快速识别网络钓鱼电子邮件的特征。”

后门攻击链

微软表示：“众所周知，该组织会开展资源密集型的社会工程活动，目标是记者、研究人员、教授或其他对德黑兰感兴趣的安全和政策问题有见解或观点的个人。”

在此活动的某些实例中，微软研究人员发现黑客使用合法但受损的帐户发送网络钓鱼诱饵，并利用 Client for URL (curl) 命令连接到其命令和控制 (C2) 服务器。

APT 被发现伪装成知名人士，包括一家知名新闻媒体的身份不明的记者。微软表示：“在某些情况下，攻击者会使用一个类似于他们试图冒充的记者的电子邮件地址，向目标发送良性电子邮件，要求他们对一篇有关以色列-哈马斯战争的文章提供意见。”

在其他情况下，[他们]使用了属于他们试图冒充的个人的合法但已被盗用的电子邮件帐户。最初的电子邮件不包含任何恶意内容。

这种间谍手段，即冒充已知个人、使用高度定制的网络钓鱼诱饵以及在活动的初始阶段使用完全良性的消息，很可能是试图与目标建立融洽关系并建立一定程度的信任在尝试向目标发送恶意内容之前。

微软表示，黑客团队在某些目标上取得了成功，这些目标同意审查最初电子邮件中引用的文章或文档。研究人员表示，“[黑客]随后发送了一封包含恶意域链接的电子邮件”，并警告称，后续消息将目标定向到托管 RAR 存档 (.rar) 文件的网站，该文件据称为草稿文档发送给目标，要求目标用户对文档内容进行审查。

如果受害者打开文档，该 .rar 文件将解压缩为同名的双扩展名文件 (.pdf.lnk)。启动后，.pdf.lnk 文件运行一个curl 命令，从攻击者控制的子域中检索一系列恶意文件。

微软在报告最后公开了失陷检测指标(IOCs)。

参考链接：https://www.securityweek.com/microsoft-iranian-apt-impersonating-prominent-journalist-in-clever-spear-phishing-attacks/