伊朗APT33组织新型恶意软件Tickler曝光：目标锁定政府、国防和能源领域

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近日，微软研究人员发现，与伊朗有关的网络间谍组织APT33（又名Peach Sandstorm、Holmium、Elfin、Refined Kitten和Magic Hound）在其武器库中添加了一个全新的恶意软件——Tickler。这一新型多阶段后门程序被APT33用于攻击美国和阿联酋的政府、国防、卫星、石油和天然气领域，意图窃取情报并破坏关键基础设施。本文将为您详细解读这次APT33的攻击行动及其背后的安全威胁。

APT33：伊朗的网络间谍先锋

APT33是一个长期与伊朗政府关联的高级持续性威胁（APT）组织。该组织以其复杂的攻击手段和广泛的目标闻名，主要针对中东和西方国家的政府、军事、能源等关键领域进行网络间谍活动。近期，APT33再度升级了其攻击手段，部署了新开发的Tickler恶意软件，表明该组织在不断进化和提升其网络攻击能力。

Tickler恶意软件：复杂且隐蔽的多阶段后门

根据微软的报告，Tickler是一种定制的多阶段后门程序，专为APT33的网络间谍活动设计。它的主要功能是通过欺骗性的PDF文件诱导受害者运行恶意程序，从而实现对目标系统的远程控制。

研究人员发现，Tickler恶意软件通常隐藏在伪装成合法文件的可执行文件中。例如，一个名为“YAHSAT NETWORK_INFRASTRUCTURE_SECURITY_GUIDE_20240421.pdf.exe”的文件就是一个典型案例。该文件表面上是一个PDF文档，实际上却是一个64位的C/C++恶意可执行文件。当受害者打开文件时，真正的PDF文档会正常显示，而Tickler则悄悄运行，收集系统的网络信息，并将数据通过HTTP POST请求发送到APT33控制的命令与控制（C2）服务器。

APT33的攻击策略：利用Azure基础设施进行C2操作

值得关注的是，APT33此次利用了微软Azure云服务作为其恶意活动的C2基础设施。通过创建欺诈性Azure订阅，APT33能够隐藏其恶意操作，并利用Azure的云资源对目标系统进行远程控制。这一策略显示了该组织在规避检测和掩饰其活动方面的高度技巧。

据微软报告，APT33还通过攻击教育机构的账户，创建了额外的Azure租户，进一步增强了其攻击网络的复杂性和隐蔽性。这种方式不仅使得APT33的攻击难以被发现，还能有效规避传统的网络安全防护措施。

攻击目标：政府、国防和能源领域首当其冲

APT33此次的攻击活动主要针对美国和阿联酋的政府、国防、卫星、石油和天然气领域。这些领域的组织通常掌握着关键的国家安全和经济资源，APT33通过窃取敏感信息和破坏关键系统，可能对目标国家的安全和稳定构成重大威胁。

此外，APT33还利用LinkedIn等社交平台进行社会工程攻击，专门针对高等教育、卫星和国防部门的人员，诱导他们下载并运行恶意软件。这种攻击方式进一步扩大了APT33的目标范围，并提高了其攻击的成功率。

结语

APT33的最新攻击表明，网络威胁正变得越来越复杂和难以检测。通过利用先进的恶意软件和云基础设施，这些APT组织能够在全球范围内发动隐蔽而致命的网络攻击。面对这些威胁，企业和政府必须时刻保持警惕，采取全面的防护措施，确保关键系统和数据的安全。

近期将在知识星球连载个人创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：伊朗APT33组织新型恶意软件Tickler曝光：目标锁定政府、国防和能源领域