江蘇
關(guān)鍵詞
黑客組織
威脅研究人員發(fā)現(xiàn)與伊朗黑客組織Infy(又名波斯王子)相關(guān)的新活動(dòng),距該組織上次針對(duì)瑞典、荷蘭和土耳其受害者已過去近五年。安全公司 SafeBreach 研究副總裁 Tomer Bar 向《黑客新聞》提供的技術(shù)分析報(bào)告中表示:"波斯王子的活動(dòng)規(guī)模遠(yuǎn)超我們最初預(yù)期,這個(gè)威脅組織仍然活躍且危險(xiǎn)。"
歷史悠久的APT組織
根據(jù) Palo Alto Networks Unit 42 于2016年5月發(fā)布的報(bào)告(由 Bar 與研究員 Simon Conant 共同撰寫),Infy 是最古老的高級(jí)持續(xù)性威脅(APT)組織之一,其早期活動(dòng)可追溯至2004年12月。與其他伊朗組織如迷人小貓(Charming Kitten)、泥漿(MuddyWater)和石油鉆機(jī)(OilRig)不同,該組織一直保持低調(diào)。其攻擊主要利用兩種惡意軟件:名為 Foudre 的下載器和受害者分析工具,用于投放第二階段植入程序 Tonnerre 以竊取高價(jià)值設(shè)備數(shù)據(jù)。據(jù)評(píng)估,F(xiàn)oudre 通過釣魚郵件傳播。
最新攻擊活動(dòng)
SafeBreach 最新發(fā)現(xiàn)顯示,該組織使用升級(jí)版 Foudre(34版)和 Tonnerre(12-18版及50版)針對(duì)伊朗、伊拉克、土耳其、印度、加拿大及歐洲受害者發(fā)起隱蔽攻擊。最新版 Tonnerre 于2025年9月被發(fā)現(xiàn)。攻擊鏈已從包含宏的 Excel 文件轉(zhuǎn)變?yōu)樵谖臋n中嵌入可執(zhí)行文件來安裝 Foudre。該組織最顯著的特點(diǎn)是使用域名生成算法(DGA)增強(qiáng)其命令控制(C2)基礎(chǔ)設(shè)施的韌性。
Foudre 和 Tonnerre 會(huì)通過下載 RSA 簽名文件驗(yàn)證 C2 域名真實(shí)性,隨后使用公鑰解密并與本地存儲(chǔ)的驗(yàn)證文件比對(duì)。SafeBreach 分析發(fā)現(xiàn) C2 服務(wù)器上存在名為"key"的驗(yàn)證目錄,以及存儲(chǔ)通信日志和竊取文件的文件夾。Bar 指出:"Foudre 每日下載威脅行為者用 RSA 私鑰加密的專屬簽名文件,再通過內(nèi)嵌公鑰驗(yàn)證域名合法性,請(qǐng)求格式為:'https:// <域名> /key/ <域名> <年份后兩位> <年內(nèi)第幾天> .sig'"
C2 服務(wù)器還存在用途暫未明確的"download"目錄,疑似用于下載新版本。而最新版 Tonnerre 新增通過 C2 服務(wù)器聯(lián)系 Telegram 群組(波斯語(yǔ)名"???????"意為"自豪")的機(jī)制,該群組包含兩個(gè)成員:可能用于發(fā)令和收集數(shù)據(jù)的機(jī)器人"@ttestro1bot",以及用戶"@ehsan8999100"。值得注意的是,相關(guān) Telegram 群組信息存儲(chǔ)在 C2 服務(wù)器"t"目錄下的"tga.adr"文件中,且僅針對(duì)特定受害者 GUID 列表觸發(fā)下載。
歷史攻擊變種
SafeBreach 還發(fā)現(xiàn)2017至2020年間攻擊活動(dòng)中使用的舊版變種:
偽裝成 Amaq 新聞查找器的 Foudre 版本
通過 Foudre 24版 DLL 下載的 MaxPinner 木馬新變種(用于監(jiān)視 Telegram 內(nèi)容)
與 Amaq 新聞查找器相似的 Deep Freeze 惡意軟件變種
名為 Rugissement 的未知惡意軟件
SafeBreach 強(qiáng)調(diào):"盡管波斯王子組織在2022年看似沉寂,實(shí)則相反。我們持續(xù)研究發(fā)現(xiàn)這個(gè)多產(chǎn)而隱秘的組織在過去三年中的活動(dòng)細(xì)節(jié)、C2服務(wù)器及惡意軟件變種。"此次披露恰逢 DomainTools 對(duì)迷人小貓泄密數(shù)據(jù)的分析顯示,該黑客組織運(yùn)作模式更似政府部門,以"文書精度開展間諜活動(dòng)",并被揭露為 Moses Staff 背后的操控者。該公司指出:"APT35 這個(gè)負(fù)責(zé)德黑蘭長(zhǎng)期憑證釣魚行動(dòng)的管理機(jī)器,也運(yùn)作著支撐 Moses Staff 勒索軟件表演的后勤系統(tǒng)。這些所謂的黑客活動(dòng)分子與政府網(wǎng)絡(luò)部門不僅共享工具和目標(biāo),還使用同一套應(yīng)付賬款系統(tǒng)。其宣傳部門與間諜部門實(shí)為同一工作流程的兩個(gè)產(chǎn)物——相同內(nèi)部票務(wù)制度下的不同'項(xiàng)目'。"
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時(shí)資訊一手掌握!
好看你就分享 有用就點(diǎn)個(gè)贊
支持「安全圈」就點(diǎn)個(gè)三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
小樓侃體育
