安全企业Mandiant指出,他们自2022年9月披露隶属于伊斯兰革命护卫警察情报组织(IRGC-IO)的伊朗黑客组织APT42,近期这些黑客又有新的攻击行动,最终会在受害计算机部署名为Nicecurl及Tamecat的后门程序。
研究人员指出,这些黑客冒充记者及社会运动人士,借由持续通信与受害者创建信任关系,向用户发送会议邀请通知,或是合法文件,通过社交工程的手法挖掘相关帐密数据,从而访问受害组织的云计算环境。得逞后,这些黑客窃取对伊朗有战略价值的数据,过程中对方依赖系统内置功能及开源工具,以便回避侦测。
除上述的窃取军事机密情报,该组织也会借由网络钓鱼的方式,传播名为Nicecurl及Tamecat的后门程序,以便取得受害组织的初始访问权限,并拿来执行命令的渠道,或是作为部署其他恶意软的跳板。
根据他们的调查,这些黑客利用至少3个基础设施来针对政府机关、新闻媒体、非政府组织及社会运动人士而来。但无论对象为何,对方在攻击行动里,采用相似的策略、技术、流程(TTP),而域名名称、诱饵则有所不同。
在其中一种攻击行动里,这些黑客冒充华盛顿邮报、经济学人、耶路撒冷邮报、Khaleej Times、Azadliq等新闻媒体及非政府组织,大多会利用拼写错误的域名名称,借由发送带有新闻内容的钓鱼邮件,目的是将收信人导向冒牌Google登录网页,从对伊朗感兴趣的地缘政治实体、研究人员、新闻记者窃取帐密数据。
而另一种攻击手法,对方则是通过.top、.online、.site、.live等顶级域名名称(TLD),架设冒牌的登录网页、文件托管服务、YouTube网站,然后假借邀请加入会议,或是共享文件的名义发送钓鱼信,目标是对伊朗政权构成威胁的研究人员、记者、非政府组织领导人、人权斗士,从而窃取他们的网络服务帐密数据。
第3种则是针对美国及以色列的国防和外交事务相关人士而来,黑客伪装成非政府组织、Mailer Daemon、短网址服务Bitly,疑似通过钓鱼邮件发动攻击。他们看到对方去年11月,针对以色列大学的核子物理学教授下手,企图窃取Microsoft 365帐密。
在通过上述3种渠道取得帐密数据后,研究人员指出,他们在2022至2023年,看到这些黑客企图从受害的美国、英国法律服务机构、非政府组织的公有云基础设施,窃取伊朗政府感兴趣的敏感数据。
他们看到对方通过社交工程取得帐密数据后,就会将受害者导向冒牌的Duo身份验证服务来绕过双重验证(MFA),得逞后就会利用收信软件Thunderbird访问受害者的电子邮件信箱,然后访问Citrix应用程序,并通过远程桌面连接(RDP)进行侦察。
过程中黑客利用多种回避侦测的手法,像是滥用Microsoft 365内置工具、查看感兴趣的数据后清除Chrome的浏览记录,此外,黑客利用ExpressVPN服务、Cloudflare托管域名、临时VPS服务器来隐匿行踪。
而对于黑客使用的后门程序,研究人员指出,Nicecurl是通过VBS打造而成,攻击者可加装特定的插件模块,以便执行特定任务,此后门程序通过HTTPS加密通信协议与C2通信。
第2款后门程序Tamecat功能较为复杂,可执行PowerShell程序代码或C#脚本,对方疑似借此进行数据窃取及控制受害计算机。值得一提的是,攻击者使用Base64混淆C2通信流量,并能动态调整配置,从而回避杀毒软件的侦测机制。
