Mandiant 研究员警告称,追踪为 UNC1860 的伊朗关联APT集团正在作为初始访问 facilitator,提供远程访问目标网络在中东地区。UNC1860 与伊朗国家情报局(MOIS)相关联,该APT集团专门使用定制工具和被动后门来获取高级网络的持久访问权。目标包括中东地区政府和 telecommunications部门的组织。UNC1860 的策略类似于其他伊朗关联威胁集团,如 Shrouded Snooper 和 Storm-0861,这些集团曾经 facilitate 灭绝性操作在以色列和阿尔巴尼亚。
Mandiant 的研究员观察到在 2022 年,以色列出现了 BABYWIPER 病毒在阿尔巴尼亚出现了 ROADSWEEP 病毒。虽然 Mandiant 无法证实 UNC1860 参与这些攻击,但研究员发现该集团使用的自定义恶意软件,表明该集团可能在提供初始访问以供这些操作使用。该集团以长期访问受害者网络而知名。
Mandiant 表示:“我们发现了两个自定义的 GUI 操作恶意软件控制器,追踪为 TEMPLEPLAY 和 VIROGREEN,我们评估这些工具用于提供第三方操作员远程访问受害者网络的能力。”
Mandiant 还注意到,受到伊朗关联APT34集团攻击的组织,也曾经被 UNC1860 攻击,表明 UNC1860 可能支持伊朗国家赞助的黑客在进行横向运动。同时,APT34 相关群体和 UNC1860 都最近转向了基于伊拉克的目标。
UNC1860 APT 使用 STAYSHANTE 和 SASHEYAWAY 等 Web Shell 和 dropper 来获得对受感染系统的初始访问权限。这些工具允许攻击者执行移交操作。2024 年 3 月,以色列国家网络局确定了针对以色列各个行业的擦除活动,指标包括 STAYSHANTE 和 SASHEYAWAY,均与 UNC1860 有关。STAYSHANTE 伪装成 Windows 服务器文件,由 VIROGREEN 框架控制。SASHEYAWAY 支持执行被动后门,如 TEMPLEDOOR、FACEFACE 和 SPARKLOAD。SASHEYAWAY 检出率低。
Mandiant 报告继续:“UNC1860 的 GUI 操作恶意软件控制器 TEMPLEPLAY 和 VIROGREEN 可能为第三方操作员提供远程访问受害者网络的能力,并控制受害者网络上的恶意软件的执行。这些控制器还可以为第三方操作员提供一个界面,指导操作员部署自定义负载和执行其他操作,如在目标网络中进行内部扫描和利用。”
TEMPLEPLAY 是 TEMPLEDOOR 的 .NET 基础控制器,支持后门功能、文件传输和目标服务器的代理连接。UNC1860 的武器库包括广泛的被动工具和后门,支持初始访问、横向运动和数据采集。APT 组织使用的implants 表示对 Windows OS 深入了解、内核组件反向工程和检测 evasion 技术。他们的被动implants,如 TOFUDRV 和 TOFULOAD,不会启动出站流量,而是依赖于 volatile 来源的 inbound 命令,检测变得更加困难。这些implants 使用 HTTPS 加密流量和未文档化的输入/输出控制命令来规避网络监控和端点检测。工具如 TEMPLEDROP 将伊朗杀毒软件驱动程序重用以保护文件,而 TEMPLELOCK 是 .NET 基础的实用工具,用于终止和重新启动 Windows 事件日志服务以规避检测。
报告结论:“这些能力表明,UNC1860 是一名可怕的威胁actor,可能支持从间谍活动到网络攻击操作的多种目标。随着中东地区的紧张局势继续波动,我们认为这个actor 的初始访问能力在伊朗网络生态系统中是一个有价值的资产,可以被利用以满足不断演变的目标需求。”
原文始发于微信公众号(黑猫安全):UNC1860为伊朗关联APT提供中东网络访问
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论