沙特一家非营利组织成为秘密网络间谍活动的目标，隐形网络间谍活动两年未被发现

思科 Talos 安全研究人员报告（https://blog.talosintelligence.com/new-zardoor-backdoor/）称，沙特阿拉伯的一家非营利组织已成为秘密网络间谍活动的目标，该活动两年来一直未被发现。

该活动的特点是名为Zardoor的自定义后门、修改的反向代理（例如 Fast Reverse Proxy、sSocks 和 Venom），以及滥用合法工具进行恶意软件传输、持久性和命令与控制 (C&C) 设置。

据 Talos 称，反向代理工具的使用与与多个某国黑客组织相关的工具、技术和程序 (TTP) 重叠，但没有足够的证据表明该活动与来自某国的已知组织有关。

该活动于 2023 年 5 月被发现，但很可能始于 2021 年 3 月，攻击者每月两次从受害组织（一家伊斯兰慈善非营利组织）窃取数据。

“目前，我们只发现了一个受感染的目标，但是，攻击者能够在不被发现的情况下长期访问受害者的网络，这表明可能还有其他目标。”Talos 指出。

Zardoor 自定义后门是一种 HTTP/SSL 远程访问工具，可以将数据泄露到 C&C、以无文件模式执行有效负载、搜索会话 ID、更新其配置、删除自身并提供远程 shellcode 执行。

研究人员发现攻击者滥用 Windows Management Instrumentation (WMI) 进行横向移动，并将修改后的开源反向代理工具注册为计划任务以实现持久性。

据 Talos 称，这些攻击是由技术精湛的对手精心策划的，其基础是使用定制后门和修改后的工具，并且能够多年不被发现。

“Talos 评估这次活动是由未知的APT（高级威胁组织）发起的。目前我们无法将这一活动归因于任何已知的、公开报道的黑客组织，因为我们没有发现观察到的工具或本次活动中使用的 C&C 基础设施之间有任何重叠。”Talos 总结道。

参考链接：https://www.securityweek.com/stealthy-cyberespionage-campaign-remained-undiscovered-for-two-years/