专家们利用 Google Cloud 和 OneDrive 发现了新的 APT35 间谍技巧。
微步的研究团队发现黑客组织 APT35 使用虚假网站,其目的是在受害者的计算机上安装恶意软件。
由伊朗资助并与伊斯兰革命卫队 (IRGC) 有联系的 APT35 组织(Magic Hound、Cobalt Illusion、Charming Kitten)自 2014 年以来一直活跃。主要目标包括 中东、美国和其他国家的能源公司、政府机构和科技企业。
分析发现,攻击针对的是美国、泰国、阿联酋和以色列的航空航天和半导体行业。为了进行操作,攻击者使用伪装成招聘门户或公司资源的网络钓鱼网站。此类网站托管的程序结合了合法元素和恶意模块,用户下载并运行这些程序。
其中一个针对泰国无人机开发专家的网站发现 SignedConnection.exe 秘密运行恶意 DLL 模块,这些模块允许黑客通过 Windows 注册表自动运行恶意软件、修改文件并避免静态分析,并创建隐藏副本以供以后执行。此外,硬编码凭证的发现可能表明有针对性的攻击。
为了绕过保护,使用了OneDrive、Google Cloud和GitHub等流行的互联网资源,以及复杂的字符串加密方法。C2服务器位于各种平台,包括GitHub和OneDrive,备份地址是用代码编写的。
另一次攻击针对的是一家半导体公司。这涉及到一个虚假的 VPN 程序,其中包含一个 DLL 模块,该模块充当恶意软件的下载程序。恶意流量被定向到C2服务器,并使用伪造的PDF文档来引诱受害者。
在使用的资源中,发现了C2服务器的硬编码备份地址,例如msdnhelp.com。分析人士表示,下一步可能是下载木马,但最终的样本无法被检测到。
微步收集了入侵指标,包括攻击中使用的恶意文件、IP 地址和域。为了防范此类威胁,建议使用提供威胁分析和阻止恶意活动的解决方案。
https://threatbook.io/blog/id/1095
w
原文始发于微信公众号(独眼情报):伊朗已渗透到中东航天技术的核心
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论