伊朗已渗透到中东航天技术的核心

admin 2024年12月5日20:49:01评论11 views字数 828阅读2分45秒阅读模式

专家们利用 Google Cloud 和 OneDrive 发现了新的 APT35 间谍技巧。

伊朗已渗透到中东航天技术的核心

微步的研究团队发现黑客组织 APT35 使用虚假网站,其目的是在受害者的计算机上安装恶意软件

由伊朗资助并与伊斯兰革命卫队 (IRGC) 有联系的 APT35 组织(Magic Hound、Cobalt Illusion、Charming Kitten)自 2014 年以来一直活跃。主要目标包括 中东、美国和其他国家的能源公司、政府机构和科技企业。

分析发现,攻击针对的是美国、泰国、阿联酋和以色列的航空航天和半导体行业。为了进行操作,攻击者使用伪装成招聘门户或公司资源的网络钓鱼网站。此类网站托管的程序结合了合法元素和恶意模块,用户下载并运行这些程序。

其中一个针对泰国无人机开发专家的网站发现 SignedConnection.exe 秘密运行恶意 DLL 模块,这些模块允许黑客通过 Windows 注册表自动运行恶意软件、修改文件并避免静态分析,并创建隐藏副本以供以后执行。此外,硬编码凭证的发现可能表明有针对性的攻击。

为了绕过保护,使用了OneDrive、Google Cloud和GitHub等流行的互联网资源,以及复杂的字符串加密方法。C2服务器位于各种平台,包括GitHub和OneDrive,备份地址是用代码编写的。

另一次攻击针对的是一家半导体公司。这涉及到一个虚假的 VPN 程序,其中包含一个 DLL 模块,该模块充当恶意软件的下载程序。恶意流量被定向到C2服务器,并使用伪造的PDF文档来引诱受害者。

在使用的资源中,发现了C2服务器的硬编码备份地址,例如msdnhelp.com。分析人士表示,下一步可能是下载木马,但最终的样本无法被检测到。

微步收集了入侵指标,包括攻击中使用的恶意文件、IP 地址和域。为了防范此类威胁,建议使用提供威胁分析和阻止恶意活动的解决方案。

https://threatbook.io/blog/id/1095

w

原文始发于微信公众号(独眼情报):伊朗已渗透到中东航天技术的核心

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月5日20:49:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   伊朗已渗透到中东航天技术的核心https://cn-sec.com/archives/3470951.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息