Bleeping Computer 網(wǎng)站消息，微軟表示，一伙疑似由伊朗支持的威脅攻擊者正在針對(duì)歐洲和美國(guó)研究機(jī)構(gòu)和大學(xué)的高級(jí)雇員發(fā)起魚叉式網(wǎng)絡(luò)釣魚攻擊，并推送新的后門惡意軟件。

據(jù)悉，這些威脅攻擊者是臭名昭著的 APT35 伊朗網(wǎng)絡(luò)間諜組織（又稱 Charming Kitten 和 Phosphorus）的一個(gè)子組織，疑似與伊斯蘭革命衛(wèi)隊(duì)（IRGC）有關(guān)聯(lián)。這些威脅攻擊者通過此前已經(jīng)成功入侵的賬戶發(fā)送定制的、難以檢測(cè)的釣魚郵件。

微軟方面強(qiáng)調(diào)，自 2023 年 11 月以來，微軟持續(xù)觀察到 APT 35 的子組織以比利時(shí)、法國(guó)、加沙、以色列、英國(guó)和美國(guó)的大學(xué)和研究機(jī)構(gòu)中從事中東事務(wù)的知名人士為目標(biāo)，在這些攻擊活動(dòng)中，威脅攻擊者使用了定制的網(wǎng)絡(luò)釣魚誘餌，試圖通過社交工程讓目標(biāo)下載惡意文件。

少數(shù)情況下，微軟還觀察到了新的入侵后技術(shù)，包括使用名為 MediaPl 的新定制后門。

MediaPl 惡意軟件使用加密通信渠道與其指揮控制（C2）服務(wù)器交換信息，并被設(shè)計(jì)為偽裝成 Windows媒體播放器以逃避安全檢測(cè)。MediaPl 與其 C2 服務(wù)器之間的通信使用 AES CBC 加密和 Base64 編碼，在被入侵設(shè)備上發(fā)現(xiàn)的變種具有自動(dòng)終止、暫時(shí)停止、重試 C2 通信以及使用 _popen 函數(shù)執(zhí)行 C2 命令的能力。

此外，名為 MischiefTut 的第二個(gè)基于 PowerShell 的后門惡意軟件可幫助威脅攻擊者投放額外的惡意工具并提供偵察能力，使其能夠在被入侵的系統(tǒng)上運(yùn)行任何命令，并輸出發(fā)送到威脅攻擊者控制的服務(wù)器上。

APT35 攻擊活動(dòng)背后的攻擊鏈（圖源：微軟）

APT35 組織的子組織主要攻擊高價(jià)值目標(biāo)，并從被攻破的系統(tǒng)中竊取敏感數(shù)據(jù)，此前該組織的攻擊目標(biāo)主要是研究人員、教授、記者和其他了解與伊朗利益一致的安全和政策問題的個(gè)人。這些與情報(bào)界和政策界合作或有可能對(duì)情報(bào)界和政策界產(chǎn)生影響的個(gè)人，對(duì)于那些試圖為贊助其活動(dòng)的國(guó)家（如伊朗伊斯蘭共和國(guó)）收集情報(bào)的對(duì)手來說，是極具吸引力的目標(biāo)。

2021 年 3 月至 2022 年 6 月間，APT35 組織在針對(duì)政府和醫(yī)療保健組織以及金融服務(wù)、工程、制造、技術(shù)、法律、電信和其他行業(yè)領(lǐng)域的公司的攻擊活動(dòng)中，利用以前未知的惡意軟件，至少在 34 家公司中設(shè)置了后門。

伊朗黑客組織還在針對(duì) macOS 系統(tǒng)的攻擊中使用了前所未見的 NokNok 惡意軟件，旨在收集、加密和外泄被入侵 Mac 的數(shù)據(jù)。

另一個(gè)被追蹤為 APT33（又名 Refined Kitten 或 Holmium）的伊朗威脅組織自 2023 年 2 月以來在針對(duì)全球數(shù)千個(gè)組織的大范圍密碼噴射攻擊中入侵了國(guó)防組織，最近還被發(fā)現(xiàn)試圖利用新的 FalseFont 惡意軟件入侵國(guó)防承包商。

參考文章：https://www.bleepingcomputer.com/news/security/microsoft-iranian-hackers-target-researchers-with-new-mediapl-malware/