伊朗黑客使用远程实用软件监视其目标

与伊朗有嫌疑关系的黑客正积极瞄准中东和周边地区的学术界、政府机构和旅游实体，作为旨在窃取数据的间谍活动的一部分。

这项最新发现被Trend Micro称为“Earth Vetala”，是对Anomali上个月发表的先前研究的扩展，该研究发现了利用ScreenConnect远程管理工具针对阿联酋和科威特政府机构进行恶意活动的证据。

这家网络安全公司以适度的信心将正在进行的攻击与一个被广泛追踪的威胁参与者MuddyWater联系起来，MuddyWater是一个伊朗黑客组织，以其主要针对中东国家的攻击而闻名。

据称，Earth Vetala在启动与指挥与控制（C2）服务器的通信以执行模糊的PowerShell脚本之前，利用含有流行文件共享服务Onehub嵌入式链接的spear网络钓鱼电子邮件，分发从密码转储实用程序到自定义后门的恶意软件。

这些链接本身就将受害者直接与。ZIP文件，其中包含由RemoteUtilities开发的合法远程管理软件，该软件能够下载和上载文件、捕获屏幕截图、浏览文件和目录，以及执行和终止进程。

受影响国家

Trend Micro指出，分发RemoteUtilities和ScreenConnect的两次战役的战术和技术大体相似，并表示新一波袭击的目标主要是位于阿塞拜疆、巴林、以色列、沙特阿拉伯和阿联酋的组织。

在沙特阿拉伯的一个特定实例中，研究人员发现对手试图配置Sharp凿子—；TCP/UDP隧道工具的C#包装器，名为凿子—；对于C2通信，在下载远程访问工具、凭证窃取程序和能够执行任意远程命令的PowerShell后门之前。

趋势科技公司说：“地球维塔拉代表着一个有趣的威胁。”。“虽然它具有远程访问功能，但攻击者似乎缺乏正确使用所有这些工具的专业知识。这是出人意料的，因为我们认为这次攻击与泥水威胁参与者—有关；在其他相关活动中，攻击者表现出了更高的技术水平。”