UNC1860：伊朗APT组织的隐秘攻势，助力中东网络攻击

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近日，网络安全公司Mandiant曝光了一个与伊朗情报和安全部(MOIS)有关的APT组织——UNC1860的最新活动。这个组织正作为初始访问协助者，为中东的目标网络提供远程访问，进一步推动了破坏性网络攻击的升级。

UNC1860：长期潜伏的隐秘威胁

UNC1860 与其他知名伊朗APT组织（如APT34、Shrouded Snooper和Storm-0861）采取了类似的策略，擅长使用自定义工具和后门技术，获取目标系统的长期访问权限。其主要目标是中东各国的政府和电信部门，特别是在以色列和伊拉克等地的攻击行动尤为频繁。

定制工具与后门程序：攻防博弈的核心

Mandiant 的研究揭示了 UNC1860 使用的两款定制的图形界面（GUI）恶意软件控制器：TEMPLEPLAY 和 VIROGREEN。这些工具不仅能帮助攻击者远程访问受感染的网络，还可以为第三方运营者提供操作指导。这些恶意软件的复杂程度反映了 UNC1860 深厚的技术积累，特别是在Windows操作系统的漏洞利用和逃避检测技术上更是令人瞩目。

- STAYSHANTE 和 SASHEYAWAY：这两款工具被UNC1860用来获取受感染系统的初始访问权限。SASHEYAWAY甚至支持运行多个后门程序，且其检测率极低，极难被安全设备识别。

- TEMPLEPLAY 和 VIROGREEN：通过这些恶意软件控制器，攻击者可以远程操控受害者网络，并部署自定义恶意软件。

潜藏的威胁：供应链与横向渗透

UNC1860的活动不仅局限于初步攻击，还为其他APT组织提供后续支持。Mandiant发现，UNC1860曾为伊朗政府支持的黑客团队提供横向移动的初始访问权限，特别是在APT34等组织入侵的目标中也能发现UNC1860的痕迹。这表明UNC1860在伊朗网络行动中扮演了关键角色。

这种以长期隐蔽访问为目的的网络攻击方式，对中东地区的政府、企业乃至整个网络供应链构成了巨大威胁。攻击者一旦进入网络，便可利用多个工具进行内网扫描、数据窃取及进一步攻击。

UNC1860的未来影响：紧张局势中的隐形力量

随着中东地缘政治局势的持续紧张，UNC1860的技能和工具将成为伊朗网络战中的核心资产。Mandiant的报告指出，UNC1860的能力不仅限于窃取情报，还可能为更多的破坏性行动提供支持，从而进一步推动区域内的网络冲突升级。

如何应对APT组织的威胁？

1. 加强网络安全防护：通过加强网络监控、应用高级威胁检测工具等措施，企业和政府机构可以更快地发现潜在的攻击行为。

2. 持续安全审计：定期对网络系统进行安全审计，确保早期发现入侵迹象，避免长期潜伏带来的数据泄露和业务风险。

3. 提升供应链安全：针对APT组织频繁利用的供应链攻击模式，企业需确保所有外部软件包和工具的安全性。

UNC1860的崛起再次提醒我们，在当前的全球网络环境中，没有任何系统可以完全免于威胁。保持警惕，加强防御，是我们应对日益复杂的网络攻击的唯一出路。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：UNC1860：伊朗APT组织的隐秘攻势，助力中东网络攻击