伊朗與整個中東武裝激進組織的夥伴關係是有據可查的。不太為人所知的是它與外國駭客的合作,例如“Polonia”(又名“Plaid Rain”),自 2021 年以來,該駭客的唯一目的似乎是攻擊以色列。
據微軟稱,光是 2022 年春季,釙就監視了 20 多個以色列組織,涉及商業、關鍵和政府部門,包括交通、關鍵製造、IT、金融、農業和醫療保健。
現在,該集團似乎又邁出了一步。 12 月 4 日,以色列國家網路管理局警告稱,釙已進一步瞄準關鍵基礎設施部門,包括水和能源。該局寫道,除了間諜活動之外,“最近還發現了實施破壞性攻擊的趨勢。”
Dark Reading已聯繫以色列國防部了解更多詳情,但尚未收到回應。
釙的MO
來自一個只有少數相對安靜的 APT 組織(Volatile Cedar、Tempting Cedar 和Dark Caracal)的國家,人們可能會低估釙。
但除了微軟對其目標的調查結果之外,ESET 的 法國電報手機號碼列表 研究 人員在 2022 年 10 月還發現同一組織在同一年發動了十幾起攻擊,涉及工程、法律、通訊、行銷、媒體、保險等更多領域和社會服務。
對於初始訪問,Polium 最常利用 Fortinet 設備 - 使用洩漏的 Fortinet VPN 憑證,或透過CVE-2018-13379,這是 Fortinet 設備中的 CVSS 9.8「嚴重」級漏洞,在該組織成立之前就已修補。對於命令和控制 (C2),它更喜歡 Microsoft OneDrive、Dropbox 和 Mega 等雲端服務。
最值得注意的是,在其運作的第一年,該組織針對其目標部署了至少七個自訂後門,能夠部署反向 shell、竊取檔案、截取螢幕截圖、記錄擊鍵、控製網路攝影機等。
駭客並沒有將這些後門打包成一個整體,而是將它們分成碎片——小文件,每個文件的功能都有限。例如,一個動態連結庫 (DLL) 檔案負責螢幕抓取,然後另一個檔案負責將它們上傳到 C2 伺服器。 ESET 惡意軟體研究員 Matias Porolli 解釋說:“我們的想法是將功能拆分為不同的組件,這樣各個組件對於安全軟體來說就不那麼可疑了。”
儘管釙在最近幾個月不斷改進其工具和策略,但它仍然堅持這個公式。
「到 2023 年,他們不再使用可執行檔和 DLL 文件,而是使用腳本語言來編寫惡意軟體。我們觀察到了 Python 後門和 LUA 後門,」Porolli 說,並指出後者相當罕見。
「他們仍然將惡意軟體的配置放在單獨的檔案中。這使得分析人員更難理解執行流程,在分析人員沒有攻擊中使用的所有檔案的情況下,」他說。
伊朗的代理網路戰爭
在加薩戰爭的背景下,以色列面臨網路攻擊的大幅增加。
例如,戰爭爆發三週後,網路管理局已經發現了 40 多次危害數位服務和儲存供應商的企圖。該機構在一份警報中寫道:“針對此類公司的嘗試有所增加,甚至同時對多家公司造成實際損害的事件。”
報告解釋說,更大的問題是「潛在的損害也可能波及與這些公司有關的重要實體,這些實體在日常工作中,尤其是在緊急情況下,發揮著至關重要的作用,包括醫院、航運公司、政府部門等。
威脅研究總監瑪麗亞·坎寧安 (Maria Cunningham) 表示,攻擊者並不總是幕後黑手,這只會讓防禦變得更加困難。 “人們想到的第一個民族國家往往是俄羅斯,”她說,儘管“朝鮮的威脅行為者經常表現出一種有趣的作案手法,乍一看很可能本質上是犯罪行為。”
「這可以為攻擊者提供看似合理的推諉;對於防御者來說,它可以限制歸因,更重要的是,阻礙對攻擊者接下來可能發生的事情的理解,」她說。
