伊朗情报和安全部(MOIS)下属的网络行动已成为该国黑客的复杂初始访问代理,为中东各地电信和政府组织的系统提供持续入口。
谷歌旗下的 Mandiant 公司周四发布了一份关于命名为 UNC1860 网络活动的报告。研究人员称,与该部门有关联的黑客开发了一系列令人印象深刻的专用工具和被动后门,这些工具和后门将继续协助伊朗的其他黑客行动。
Mandiant 解释说:“据报道,这些组织为针对以色列的破坏性和破坏性行动提供了初步途径,这些行动于 2023 年 10 月下旬使用 BABYWIPER 针对以色列,于 2022 年使用 ROADSWEEP 针对阿尔巴尼亚。”
Mandiant 指出,虽然他们无法独立确认 UNC1860 是否参与了这两次行动,但他们发现了“可能旨在促进交接操作”的工具。
Mandiant 表示,UNC1860 的一个关键特性包括“维护这一系列多样化的被动/监听式设施,以支持该组织的初始访问和横向移动目标。”
这些工具旨在逃避反病毒软件的监控并提供系统的秘密访问,以用于各种目的。
Mandiant 称 UNC1860 是一个“强大的APT组织”,可能支持“从间谍活动到网络攻击行动等各种目标”。
该安全公司发现 UNC1860 的工具被其他与 MOIS 有关联的黑客组织使用的证据,例如APT34——一个著名的伊朗威胁组织,负责入侵约旦、以色列、沙特阿拉伯等国的政府系统。上周,研究人员发现了一项针对伊拉克政府官员的广泛 APT34 行动。
Mandiant 表示,该公司于 2020 年受聘应对 UNC1860 使用未具名受害者的网络扫描 IP 地址并暴露漏洞的事件,这些漏洞主要位于沙特阿拉伯。该公司还发现 UNC1860 对卡塔尔域名感兴趣的证据。
该公司补充说,2024 年 3 月针对以色列组织的擦除恶意软件活动中使用的工具也可能归因于 UNC1860。
Mandiant 表示:“在取得初步立足点后,该组织通常会部署额外的实用程序和一套选择性的被动植入物,这些植入物的设计比普通的后门更为隐蔽。”
其他公司过去也曾重点关注 UNC1860 的工具,其中包括思科、Check Point和Fortinet。
随着伊朗黑客组织网络行动变得越来越明目张胆,其受到安全研究人员和政府机构的越来越大的关注。
Mandiant 表示:“随着中东紧张局势持续起伏,我们认为,该攻击者在获取目标环境初始访问权方面的娴熟技能,对伊朗网络生态系统而言是一笔宝贵的资产,可随着需求的变化而用于应对不断变化的目标。”
转自军哥网络安全读报
暂无评论内容