2025年3月4日�,據(jù)Proofpoint的研究人員警告稱��,伊朗黑客組織UNK_CraftyCamel使用多語言(polyglot)文件隱藏新型后門程序�����,針對阿聯(lián)酋航空����、衛(wèi)星通信和交通行業(yè)發(fā)起魚叉式釣魚攻擊�����。
攻擊活動詳情
2024年10月下旬,UNK_CraftyCamel利用印度電子公司(INDIC Electronics)泄露的電子郵件賬戶發(fā)送惡意郵件�。郵件包含指向攻擊者控制的仿冒域名indicelectronics.net的URL,原合法域名為INDIC electronics���。
攻擊者“通過偽裝成B2B銷售產(chǎn)品的方式����,利用被入侵發(fā)件人與目標之間的信任關(guān)系��,誘導目標點擊郵件中的惡意鏈接”�����,郵件內(nèi)容包括訂單表格和公司背景介紹���。其中以.com結(jié)尾的URL看似指向合法的INDIC Electronics主頁,但實際上指向一個名為“indicelectronics.net”的虛假域名�。惡意鏈接最終指向一個ZIP壓縮包���,內(nèi)含一個XLS文件(Excel電子表格)和兩個PDF文件。
經(jīng)調(diào)查�,Proofpoint確認XLS文件實際上是一個使用雙擴展名的LNK文件�,而兩個PDF文件都是多語言文件��;第一個PDF文件附加了HTA腳本��,第二個PDF文件附加了ZIP文檔�����。
攻擊鏈中����,通過LNK文件啟動cmd.exe,調(diào)用mshta.exe執(zhí)行隱藏在第一個PDF文件中的HTA腳本���,進而加載第二個PDF文件�����。隱藏在第二個PDF中的惡意代碼會向Windows注冊表寫入URL文件以實現(xiàn)持久化駐留,隨后執(zhí)行經(jīng)過XOR加密的JPEG文件����,該文件解密后生成名為yourdllfinal.dll的DLL載荷,即Sosano后門程序���。
Sosano后門程序
Sosano是基于Go語言編寫的輕量級后門程序�����,其作者通過嵌入未使用的庫文件故意增大文件體積(約12MB)�����,以混淆惡意代碼并增加分析難度��。后門運行后首先進行隨機時長的睡眠以規(guī)避沙箱檢測����,睡眠結(jié)束后連接C2服務(wù)器。該后門程序支持的命令如下:
攻擊者UNK_CraftyCamel
目前��,這個被指定為UNK_CraftyCamel的組織與Proofpoint已知APT組織均無重疊����。其攻擊特征(如少量定向收件人�、高度定制化誘餌、多重混淆手法)表明其有明確的授權(quán)��,分析顯示��,UNK_CraftyCamel可能與伊朗存在關(guān)聯(lián)�。Proofpoint已確定APT33和APT35中的多個戰(zhàn)術(shù)��、技術(shù)和程序(TTP)與疑似伊斯蘭革命衛(wèi)隊(IRGC)聯(lián)盟的活動相似��。這兩個團體歷來都專注于針對航空航天聯(lián)盟組織�。此外���,APT33和UNK_CraftyCamel都在阿聯(lián)酋的高度針對性活動中使用了HTA文件�;APT35和UNK_CraftyCamel都傾向于通過B2B優(yōu)惠來接近目標��,其次都是針對同一家公司的工程師���。盡管存在這些相似之處,Proofpoint仍評估UNK_CraftyCamel是獨立于APT33和APT35的新興威脅組織���。
攻擊的檢測時機
惡意軟件感染鏈中存在以下檢測機會:
1、從新建或解壓目錄中執(zhí)行LNK文件���;
2、注冊表運行項中出現(xiàn)URL文件;
3�、URL文件啟動非瀏覽器程序�;
4、可執(zhí)行文件從用戶目錄訪問JPG文件�。
引用鏈接
[1]https://www.proofpoint.com/us/blog/threat-insight/call-it-what-you-want-threat-actor-delivers-highly-targeted-multistage-polyglot
[2]https://www.bleepingcomputer.com/news/security/new-polyglot-malware-hits-
aviation-satellite-communication-firms/
