伊朗黑客使用滥用Telegram Messenger API的新间谍恶意软件

An Iranian geopolitical nexus threat actor has been uncovered deploying two new targeted malware that come with "simple" backdoor functionalities as part of an intrusion against an unnamed Middle East government entity in November 2021.

网络安全公司Mandiant将此次攻击归因于它正在跟踪的一个未分类的集群UNC3313它以“适度的信心”评估了与MuddyWater州赞助团体有关的信息。

“UNC3313进行监视并收集战略信息，以支持伊朗的利益和决策，”研究人员Ryan Tomcik、Emiel Haeghbaert和Tufail Ahmed说。“目标模式和相关诱饵显示出对具有地缘政治关系的目标的强烈关注。”

2022年1月中旬，美国情报机构将MuddyWater（又名静态小猫、种子虫、TEMP.Zagros或Mercury）定性为伊朗情报和安全部（MOIS）的下属机构，该部至少自2018年以来一直活跃，并已知在其行动中使用了广泛的工具和技术。

据称，这些攻击是通过鱼叉式网络钓鱼信息策划的，目的是获得初始访问权限，然后利用公开的攻击性安全工具和远程访问软件进行横向移动，并保持对环境的访问。

这些网络钓鱼邮件是利用升职诱惑精心制作的，诱骗多个受害者点击URL下载OneHub上托管的RAR存档文件，这为安装合法远程访问软件ScreenConnect奠定了基础。

研究人员指出，“UNC3313迅速采取行动，通过使用ScreenConnect在最初泄露的一小时内渗透系统来建立远程访问，”并补充说，安全事件很快得到了控制和补救。

攻击的后续阶段包括提升权限、对目标网络进行内部侦察，以及运行模糊的PowerShell命令，以便在远程系统上下载其他工具和有效载荷。

还观察到一个以前未记录的后门，名为STARWHALE，是一个Windows脚本文件（.WSF），它执行通过HTTP从硬编码的命令和控制（C2）服务器接收到的命令。

攻击过程中交付的另一个植入物是GRAMDOOR，之所以这样命名是因为它使用电报API与攻击者控制的服务器进行网络通信，以逃避检测，再次强调使用通信工具来促进数据外泄。

这一发现也与来自英国和美国的网络安全机构联合发起的一项新建议相一致，指控MyDyWORD集团针对全球的国防、地方政府、石油和天然气和电信部门进行间谍袭击。