伊朗黑客通过伪装 Windows Media Player 实施网络攻击

阅读量48421

发布时间 : 2024-01-19 11:29:06

一波网络攻击正笼罩着欧洲和美国的科学家。

微软警告 伊朗黑客对欧洲和美国研究机构和大学的高级员工进行有针对性的网络攻击。这些攻击是使用网络钓鱼和新的 MediaPl 恶意软件进行的。

微软将这些活动归咎于伊朗网络间谍组织 APT35(Charming Kitten、Phosphorus、Mint Sandstorm),该组织与伊斯兰革命卫队 (IRGC) 有关联,该组织的成员使用经过专门准备且难以检测的网络钓鱼电子邮件,这些电子邮件是通过之前被入侵的帐户发送的。

自 2023 年 11 月以来,专家们观察到一个名为 Mint Sandstorm(磷)的特定组织,其目标是比利时、法国、加沙、以色列、英国和美国的大学和研究机构的著名中东学者。

Mint Sandstorm攻击链

在活动期间,Mint Sandstorm 使用社交工程来操纵受害者下载恶意文件。在某些情况下,黑客攻击后会发现新工具的使用,包括 MediaPl 后门。

MediaPl 使用加密的通信通道与命令和控制 ( C2 ) 服务器 交换信息,并将自身伪装成 Windows Media Player 以避免检测。

MediaPl 与其 C2 服务器之间的通信使用 AES 加密和 Base64 编码进行,在受感染设备上发现的版本能够自动关闭、暂时挂起、重新建立与 C2 的通信以及使用 _popen 函数执行 C2 命令。

第二种基于PowerShell的恶意软件称为 MischiefTut,有助于安装额外的恶意工具并具有侦察功能,允许攻击者在受感染的系统上运行命令并将结果发送到黑客的服务器。

微软指出,对情报和政策界工作或有影响力的人对于寻求为政府收集情报的网络犯罪分子来说是有吸引力的目标。根据该活动目标的性质,以及使用与以色列冲突相关的诱饵,可以认为该活动是为了收集不同意识形态的人们对时事的看法。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66