伊朗“浑水”组织发动网络攻击，利用“凤凰”后门程序 targeting 中东和北非

HackerNews 编译，转载请注明出处：

被称为 “浑水”（MuddyWater）的伊朗国家背景组织，被指发起了一场新的网络活动。该组织利用一个被入侵的电子邮件账户，向中东和北非（MENA）地区的多家机构分发名为 “凤凰”（Phoenix）的后门程序，其中包括 100 多个政府实体。

新加坡网络安全公司 Group-IB 在今日发布的技术报告中表示，这场活动的最终目标是渗透高价值目标，为情报收集提供便利。

该活动超四分之三的目标包括大使馆、外交使团、外交部和领事馆，其次是国际组织和电信公司。

网络安全研究人员马哈茂德・祖赫迪（Mahmoud Zohdy）和曼苏尔・阿尔穆德（Mansour Alhmoud）指出：“‘浑水’组织通过 NordVPN—— 一款被该威胁行为者滥用的合法服务 —— 访问了被入侵的邮箱，并利用该邮箱发送看似真实通信内容的钓鱼邮件。”

“通过利用这类通信所附带的信任度和权威性，该活动大幅提高了欺骗收件人打开恶意附件的概率。”

攻击链的核心流程是，威胁行为者分发植入恶意程序的微软 Word 文档。收件人打开文档后，会被提示启用宏功能才能查看内容。毫无防备的用户一旦启用该功能，文档就会执行恶意的 Visual Basic for Application（VBA，可视化 Basic 应用程序）代码，最终部署 “凤凰” 4.0 版本后门程序。

该后门程序由一个名为 “FakeUpdate”（虚假更新）的加载器启动，而这个加载器由 VBA 投放程序解码后写入磁盘。加载器中包含经过高级加密标准（AES）加密的 “凤凰” 有效载荷。

“浑水” 组织还有多个别名，包括 Boggy Serpens、Cobalt Ulster、Earth Vetala、Mango Sandstorm（前称 Mercury）、Seedworm、Static Kitten、TA450、TEMP.Zagros 和 Yellow Nix。经评估，该组织与伊朗情报和安全部（MOIS）有关联，已知至少自 2017 年起便开始活跃。

Group-IB 上月首次记录到该威胁行为者使用 “凤凰” 后门程序，并将其描述为 “BugSleep” 的轻量版本。“BugSleep” 是一款基于 Python 的植入程序，此前已被证实与 “浑水” 组织有关联。目前已在野外检测到 “凤凰” 的两个不同变种 ——3.0 版本和 4.0 版本。

这家网络安全厂商表示，已发现攻击者的命令与控制（C2）服务器（地址为 “159.198.36 [.] 115”）还托管着远程监控与管理（RMM）工具，以及一款定制化网页浏览器凭据窃取工具。该窃取工具针对 Brave、谷歌 Chrome、微软 Edge 和欧朋（Opera）浏览器，这表明这些工具可能被用于此次行动。值得注意的是，多年来 “浑水” 组织一直有通过钓鱼活动分发远程访问软件的记录。

研究人员称：“通过部署‘凤凰’4.0 版本后门程序、‘FakeUpdate’注入器、定制化凭据窃取工具，再结合 PDQ、Action1 等合法远程监控与管理工具，‘浑水’组织展现出更强的能力 —— 能将定制化代码与商业工具整合，从而提升隐蔽性和持久控制能力。”

消息来源：thehackernew；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文

Fish AI Reader

FishAI

联系邮箱 441953276@qq.com

相关标签