伊朗黑客在“出海”间谍活动中使用新的马林后门

一个与伊朗有联系的高级持续威胁（APT）组织更新了其恶意软件工具集，加入了一个名为马林鱼 as part of a long-running espionage campaign that started in April 2018.

斯洛伐克网络安全公司ESET将袭击归咎于—；代号“出海”— 一个名为OilRig（又名APT34）的威胁参与者，同时也将其活动与另一个名为Lyceum（Hexane又名暹罗猫）的伊朗组织联系起来。

“该运动的受害者包括在以色列、突尼斯和阿拉伯联合酋长国的外交组织、技术公司和医疗机构，”ESET在其与黑客新闻共享的T3 2021威胁报告中指出。

该黑客组织至少自2014年以来一直活跃，众所周知，它攻击中东各国政府和各种垂直商业领域，包括化工、能源、金融和电信。今年2021年4月，这位演员瞄准了一个黎巴嫩实体，植入了名为SouthTwitter的植入物，而此前被认为是LyCEUM的活动已经在以色列、摩洛哥、突尼斯和沙特阿拉伯挑出了IT公司。

Lyceum感染连锁店也值得一提的是，自2018年该活动曝光以来，它们已经进化到放弃多个后门—；从丹博特开始，在2021和8212年间过渡到鲨鱼和米兰；在2021年8月检测到的攻击利用了一种新的数据收集称为MARLIN的恶意软件。

变化还不止于此。传统的石油钻井平台TTP涉及使用DNS和HTTPS进行指挥与控制（C&C）通信，马林利用微软的OneDrive API进行指挥与控制操作，这与传统的TTP有很大不同。

ESET指出，最初的网络访问是通过矛式网络钓鱼以及远程访问和管理软件（如ITbrain和TeamViewer）实现的，并指出OilRig的后门和Lyceum的后门在工具和策略上的相似性是“太多和具体”

研究人员说：“ToneDeaf后门主要通过HTTP/S与C&C进行通信，但包括第二种方法DNS隧道，该方法无法正常工作。”。“Shark也有类似的症状，其主要通信方法使用DNS，但有一个不起作用的HTTP/S辅助选项。”

支持系统信息、文件上传和下载和任意shell命令执行的TuneHistor是由APT34演员部署的恶意软件家族，其目标是在2019年7月在中东运行的广泛行业。

此外，调查结果还指出了DNS作为C&；C通信通道，同时还采用HTTP/S作为辅助通信方法，并使用后门工作目录中的多个文件夹从C&；C服务器。