伊朗最喜欢的泥脚网络间谍组织又开始行动了,根据Group-IB研究人员的说法,这次他们攻击了中东和北非超过100个政府实体……

这场活动始于八月,利用一个被黑客攻破的企业邮箱向大使馆、各部委和电信公司发送了看似真实的网络钓鱼邮件。

攻击者被称为MuddyWater(也称为Seedworm、APT34、OilRig和TA450),他们能够通过NordVPN服务从一个合法地址发送恶意信息。

每条消息都附带了一个带有恶意代码的 Word 附件,提示用户“启用内容”。任何点击此链接的人都会触发一个宏,解压出一个叫做“FakeUpdate”的加载程序,随后安装该团队定制的后门程序更新版本“Phoenix”。一旦安装,恶意软件使得操作者可以在被感染的系统中进行探查,窃取用户凭据、上传或下载文件,并保持对系统的持续控制。

Group-IB指出,该工具包还盗取了Chrome、Edge、Opera和Brave浏览器中存储的密码,同时还利用了一些现成的远程管理工具,比如PDQ和Action1,以便更好地与正常的管理员流量混合。

根据Group-IB的报告,超过四分之三的受害者是外交机构或政府部门,其余的则是国际组织和电信服务提供商,报告没有具体提到任何目标。虽然MuddyWater的手法一直以来都主要依靠网络钓鱼和社会工程,但这次活动的规模表明,可能是能力的提升,或者是德黑兰间谍头目对信息收集的要求异常广泛。

伊朗情报与安全部有关的MuddyWater,自2017年以来一直活跃,潜伏在中东、非洲和中亚的政府、能源、电信及国防网络中。它通常专注于长期渗透和信息收集,而不是那种快速攻击和抢劫式的勒索软件,不过,它的工具和基础设施偶尔会与其他伊朗组织,比如APT35,有所重叠。

在其报告中,Group-IB表示,使用合法的VPN服务提供商和已经信任的邮箱让检测变得特别困难。“通过利用这种通信所带来的信任和权威,这个活动大大增加了欺骗收件人打开恶意附件的可能性,”Group-IB也提到。

此次行动反映了伊朗情报机构在地区紧张局势和制裁压力的背景下加大网络间谍活动的更广泛模式。MuddyWater此前与去年针对以色列组织的攻击有关,使用了一个名为BugSleep的独立后门。虽然该活动规模较小,但同样依赖社交工程手段来突破企业电子邮件系统。