点击上方蓝字·关注我们
被追踪为 APT42 的伊朗国家支持的威胁行为者正在利用社会工程攻击,包括冒充记者,以破坏西方和中东目标的企业网络和云环境。
Mandiant 于 2022 年 9 月首次记录了 APT42,他报告说,威胁行为者自 2015 年以来一直很活跃,在 14 个国家/地区进行了至少 30 次行动。
据信,该间谍组织隶属于伊朗伊斯兰革命卫队情报组织(IRGC-IO),据观察,该组织的目标是非政府组织、媒体机构、教育机构、活动家和法律服务机构。
跟踪 APT42 操作的 Google 威胁分析师报告称,黑客使用恶意电子邮件通过两个自定义后门(即“Nicecurl”和“Tamecat”)感染目标,它们提供命令执行和数据泄露功能。
制作在线角色
APT42 攻击依赖于社会工程和鱼叉式网络钓鱼,其最终目标是使用自定义后门感染目标设备,使威胁行为者能够获得对组织网络的初始访问权限。
攻击始于冒充记者、非政府组织代表或活动组织者的在线角色的电子邮件,这些电子邮件来自与合法组织“拼写错误”(使用相似 URL)的域。
创建的虚假角色之一 来源:谷歌
APT42 冒充的媒体机构包括《华盛顿邮报》(美国)、《经济学人》(英国)、《耶路撒冷邮报》(伊利诺伊州)、《哈利杰时报》(阿联酋)、阿扎德利克(阿塞拜疆),Mandiant 表示,这些攻击经常使用拼写错误的域名,例"washinqtonpost[.]press"。
在攻击者交换了足够的通信以与受害者建立信任后,他们会根据所选的诱饵主题发送指向与会议或新闻文章相关的文档的链接。
中使用的诱饵文档来源:谷歌
单击链接会将目标定向到模仿Google和Microsoft等知名服务的虚假登录页面,甚至是与受害者工作领域相关的专业平台。
这些网络钓鱼网站不仅会获取受害者的帐户凭据,还会获取其多重身份验证 (MFA) 令牌。
示例 来源:谷歌
在窃取劫持受害者帐户所需的所有数据后,黑客会渗透到企业网络或云环境中,并收集电子邮件和文档等敏感信息。
谷歌报告说,为了逃避检测并与正常操作相结合,APT42 将其行动限制在其有权访问的云工具的内置功能上,在查看文档后清除谷歌浏览器历史记录,并使用似乎属于受害组织的电子邮件地址将文件泄露到 OneDrive 帐户。
此外,APT42 在与受害者环境的所有交互中使用 ExpressVPN 节点、Cloudflare 托管的域和临时 VPS 服务器,这使得归因变得更加困难。
来源:谷歌
自定义后门恶意软件
APT42 使用两个名为 Nicecurl 和 Tamecat 的自定义后门,每个后门都针对网络间谍行动中的特定功能量身定制。
Nicecurl 是一个基于 VBScript 的后门程序,能够在受感染的主机上执行命令执行、下载和执行其他有效负载或执行数据挖掘。
Tamecat 是一个更复杂的 PowerShell 后门程序,可以执行任意 PS 代码或 C# 脚本,为 APT42 提供了很大的操作灵活性来执行数据盗窃和广泛的系统操作。
与 Nicecurl 相比,Tamecat 将其 C2 通信与 base64 混淆,可以动态更新其配置,并在执行前评估受感染的环境,以逃避 AV 工具和其他主动安全机制的检测。
这两个后门都是通过带有恶意文档的网络钓鱼电子邮件部署的,通常需要宏权限才能运行。但是,如果 APT42 与受害者建立了信任,则此要求将变得不那么困难,因为受害者更有可能手动禁用安全功能。
Volexity 在 2 月份分析了类似的恶意软件,即使不是相同的,它也将攻击与伊朗威胁行为者联系起来。
最近的 APT42 活动的入侵指标 (IoC) 的完整列表以及用于检测 NICECURL 和 TAMECAT 恶意软件的 YARA 规则可以在 Google 报告的末尾找到。
*文章消息参考来源:Iranian hackers pose as journalists to push backdoor malware (bleepingcomputer.com)
安全资讯推荐 往期发布文章
安全资讯推荐
作者简介:GuardCyberSec,致力于各行业企业信息安全深度思考,关注网络安全等级保护、法律法规解读、传统网络安全研究、工业安全研究、数据安全研究等,为网络安全建设出一份力。
原文始发于微信公众号(信息安全ISecurity):【安全资讯】伊朗黑客冒充记者推送后门恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论