研究人员发现了一波归因于伊朗黑客行动的新攻击和恶意软件包

研究人员发现了一波归因于伊朗黑客行动的新攻击和恶意软件包

威胁检测厂商Cybereason报道称，这个民族国家的威胁集团被称为磷(也称为迷人的小猫或APT35)一直致力于用一个特别恶心的后门程序和软件负载感染美国境外的研究机构。

“赛博易森的研究人员最近发现了一套新的工具，这些工具是由磷集团开发的，并被整合到他们的武器库中，包括一种被称为无能为力后门的新型PowerShell后门，”赛博易森的研究人员丹尼尔·弗兰克在一份声明中解释说博客文章星期二。

“我们的研究还强调了该组织使用的一种隐形技术，通过在.NET环境中运行PowerShell后门程序，而不是生成PowerShell进程，来避免PowerShell检测。”

Frank解释说，通过作为.NET应用程序运行，后门能够在不调用PowerShell.exe的情况下运行，这种行为会被许多安全监控工具检测到。

一旦磷攻击者能够进入目标的网络并访问他们想要的数据，就会部署一个修改版本的纪念品软件来锁定受害者的系统并宣布攻击者的存在。

Cybereason告诉SearchSecurity，虽然修改后的Memento ransomware在技术上不是WannaCry模式中的“擦拭器”感染，但在这种情况下，它本质上是为了相同的目的，因为磷黑客不包括任何赎金要求、支付指令或解密提议。

根据赛博易森的说法，磷攻击者正在滥用臭名昭著的ProxyShell漏洞为了在受害者网络上站稳脚跟，因此管理员应该确保他们的系统更新了微软交换服务器的补丁程序。

就在赛博易森放弃磷的报告前不久，思科塔洛斯的团队发布了自己的简报在另一项名为“泥底水”的伊朗黑客行动中，似乎有意让土耳其组织唱蓝调。

思科塔罗斯研究人员阿什尔·马尔霍特拉和熊伟·文图拉表示，攻击者一直在通过将受感染的PDF文件伪装成土耳其卫生部和内政部的通知来传播他们的恶意软件。

一旦恶意文件被启动，它们就会试图下载其他恶意软件有效载荷，最明显的是远程外壳，这些外壳允许攻击者从目标窃取知识产权和间谍数据，然后再次通过勒索软件使目标机器无法运行。

虽然泥水袭击的威胁可能暂时只限于土耳其的组织，但马尔霍特拉和文图拉指出，该组织的最新活动可能表明其日益成熟，并对其他西方国家构成威胁。

他们指出:“事实上，威胁行为者已经改变了他们的一些操作方法和工具，这是他们适应性和不愿意克制自己不攻击其他国家的另一个迹象。