伊朗黑客滥用Dropbox攻击航空和电信公司

针对中东航空和电信行业的新的网络间谍活动的细节已经出现，其目的是窃取关键资产、组织基础设施和技术的敏感信息，同时保持在黑暗中并成功规避安全解决方案。

总部位于波士顿的网络安全公司Cybereason称这些攻击为“恐怖袭击”鬼壳行动“指出了以前使用的未被记录和隐秘的远程访问木马（称为SeelCudio）的使用，它被部署为首选的间谍工具。在2021年7月，攻击的第一个迹象是针对一个精心挑选的受害者集合，这表明了一个高度有针对性的方法。

研究人员汤姆·法克特曼（Tom Fakterman）、丹尼尔·弗兰克（Daniel Frank）、陈恩里奇（Chen Erlich）和阿萨夫·达汉（Assaf Dahan）在今天发表的一篇技术深度报道中说：“ShellClient RAT至少从2018年开始就一直在进行开发，经过多次迭代，引入了新的功能，同时它避开了杀毒工具，并设法保持未被发现和公众不知道的状态。”。

Cybereason将这种威胁的根源追溯到至少2018年11月6日—；以前是作为一个独立的反向外壳操作，后来演变成一个复杂的后门—；强调该恶意软件正在不断开发中，其作者添加了新功能。此外，据说攻击背后的对手还部署了一个名为“lsa.exe”的未知可执行文件来执行凭据转储。

对网络攻击归因的调查还发现了一个名为MalKamak的全新伊朗威胁行为体，该行为体大约在同一时期开始运作，迄今未被发现和分析，可能与其他伊朗国家支持的APT威胁行为体有联系，如金龟子APT（又名APT39）和阿格里乌斯APT，后者被发现冒充勒索软件操作员，试图掩盖针对以色列实体的一系列数据擦除黑客攻击的起源。

除了执行侦察和敏感数据的过滤，ShellClient被设计成一个模块化的可移植可执行文件，能够执行指纹识别和注册操作。同样值得注意的是，RAT滥用云存储服务，如指挥与控制（C2）通信的Dropbox，试图通过与来自受损系统的合法网络流量混合，保持低调。

Dropbox存储包含三个文件夹，每个文件夹存储有关受感染机器的信息、ShellClient RAT要执行的命令以及这些命令的结果。研究人员说：“每两秒钟，受害者机器就会检查commands文件夹，检索代表命令的文件，解析其内容，然后从远程文件夹中删除命令，并使其能够执行。”。

上述作案手法反映了另一名名为IndigoZebra的威胁参与者所采用的策略，该策略被发现依赖Dropbox API将命令存储在特定于受害者的子文件夹中，该子文件夹在执行之前由恶意软件检索。

调查结果发布前几天，俄罗斯、美国、印度、尼泊尔、台湾和日本的一系列针对燃料、能源和航空生产行业的攻击背后，有一种被称为“ChamelGang”的新的高级持久性威胁，目的是窃取受损网络的数据。