研究人员发现伊朗针对土耳其用户的新黑客活动

伊朗MuddyWater advanced persistent threat（APT）组织针对土耳其私人组织和政府机构发起了一场此前未经记录的恶意软件活动，相关细节已经浮出水面。

Cisco Talos研究人员Asheer Malhotra和Vitor Ventura在一份最新发布的报告中说：“这项活动利用恶意PDF、XLS文件和Windows可执行文件部署基于PowerShell的恶意下载程序，作为目标企业的初始立足点。”。

本月早些时候，美国网络司令部将APT与伊朗情报和安全部（MOIS）联系起来。

入侵被认为是最近2021年11月策划的，是针对土耳其政府实体，包括土耳其科学技术研究委员会（T.B.TAK），使用武器化Excel文件和PDF文件托管在攻击者控制或媒体共享网站上。

这些恶意文件伪装成来自土耳其卫生部和内政部的合法文件，攻击开始于执行嵌入其中的恶意宏，以传播感染链，并将PowerShell脚本丢弃到受损系统。

该组织的战术、技术和程序（TTP）武库中的一个新增加部分是在宏代码中使用金丝雀标记，研究人员怀疑这一机制被用来跟踪目标的成功感染，阻止分析，并检测有效负载服务器是否在另一端被阻塞。

Canary tokens，也称为honeytokens，是嵌入在文档、网页和电子邮件等对象中的标识符，打开时会以HTTP请求的形式触发警报，提醒操作员该对象已被访问。

PowerShell脚本随后下载并执行下一个有效负载，这也是一个驻留在maldoc元数据中的PowerShell脚本，该脚本反过来充当第三个未知PowerShell代码的下载程序，该代码最终在受感染的端点上运行。

在Talos观察到的攻击的第二种变体中，发现带有嵌入链接的PDF文档指向Windows可执行文件，而不是Excel文件，Excel文件随后检测感染链以部署PowerShell下载程序。

更重要的是，研究人员说，他们发现了至少两个不同版本的可执行文件的交付对手的目标是电信部门在亚美尼亚2021年6月和巴基斯坦实体在2021年8月，提高了泥水可能从事多个攻击的一部分，作为一个长期的持续运动的一部分。

此前，美国联邦调查局（FBI）上周发布了一份私人行业通知（PIN），详细介绍了一家名为Emennet Pasargad的伊朗网络公司的恶意网络活动，这与精心策划的干预2020年总统选举的复杂影响力运动有关。

研究人员总结道：“这些演员有很强的能力和动机来进行间谍活动。”。“通过使用金丝雀标记等新技术来追踪目标的成功感染，MuddyWater已经证明了它们的适应性和不愿意克制自己不去攻击其他国家。”