伊朗黑客利用ScreenConnect监视阿联酋和科威特政府机构

最新研究显示，阿联酋和科威特政府机构是伊朗威胁行为体可能实施的新网络间谍活动的目标。

Anomali将该操作归因于Static Kitten（又名MERCURY或MuddyWater）的工作，他说“这项活动的目的是安装一个名为屏幕连接（由ConnectWise 2015收购）具有独特的启动参数，具有自定义属性，“恶意软件样本和URL伪装成科威特外交部（MOFA）和阿联酋国家委员会。

自2017年诞生以来，MuddyWater一直与一些主要针对中东国家的攻击有关，在现实世界的攻击活动中，它积极利用Zerologon漏洞，以恶意有效载荷攻击著名的以色列组织。

据信，这家由国家资助的黑客组织是应伊朗伊斯兰共和国卫队的要求开展工作的。伊朗伊斯兰共和国卫队是伊朗的主要情报和军事部门。

Anomali表示，他们发现Onehub上有两个独立的lure ZIP文件，声称其中包含一份关于阿拉伯国家和以色列关系的报告或一份与奖学金有关的文件。

研究人员指出，“通过这些网络钓鱼电子邮件分发的URL将收件人直接发送到Onehub上的预期文件存储位置，这是一项已知被静态Kitten用于邪恶目的的合法服务，”并补充说，“静态Kitten继续使用Onehub托管包含ScreenConnect的文件。”

攻击开始时，通过网络钓鱼电子邮件将用户定向到指向这些ZIP文件的下载器URL，打开该电子邮件后，启动ScreenConnect的安装过程，然后使用它与对手通信。URL本身是通过嵌入电子邮件中的假文件分发的。

ConnectWise Control（以前称为ScreenConnect）是一款自我托管的远程桌面软件应用程序，支持无人值守访问和使用屏幕共享功能进行会议。

看来，攻击者的最终目标是使用该软件连接到客户端网络上的端点，使他们能够在目标环境中进行进一步的横向移动和执行任意命令，以便利数据盗窃。

研究人员得出结论：“利用合法软件进行恶意攻击可能是威胁行为人混淆其操作的有效方式。”。“在这个最新的例子中，Static Kitten很可能利用ScreenConnect的功能窃取敏感信息或下载恶意软件进行额外的网络操作。”