APT35又名Charming Kitten或Phosphorus,是来自伊朗的APT组织。近期,APT35组织在攻击活动中部署了一个名为PowerLess Backdoor的新PowerShell后门,该后门在.NET上下文中运行,而不是生成PowerShell进程。PowerLess Backdoor具有多种功能,包括下载和执行其他恶意软件和文件(键盘记录模块和浏览器信息窃取程序)、键盘记录、终止进程、窃取浏览器数据、执行任意命令等。此外,研究人员观察到Charming Kitten使用一种名为Hyperscrape的新工具从受害者邮箱中提取电子邮件。该工具允许攻击者从Yahoo、Google和Microsoft Outlook中提取电子邮件。
TA453是一个伊朗威胁组织,曾攻击中东的学者和政策专家。2022年6月,TA453组织使用一种新的、精心设计的网络钓鱼技术,通过使用多个角色和电子邮件帐户,诱导目标认为这是一个真实的电子邮件对话。研究人员将这种社会工程技术称为“多角色模拟”(MPI)。攻击者向目标发送一封电子邮件,同时抄送由攻击者控制的另一个电子邮件地址,然后从该电子邮件中回复,进行虚假对话。此次活动的目标包括从事中东研究或核安全的研究人员。电子邮件活动的时间表如下:
6月14日,研究人员揭露了最近在伊朗开展的针对前以色列官员、高级军事人员、研究机构研究员、智囊团和以色列公民的鱼叉式网络钓鱼行动。攻击者使用了一个虚假的缩短网址 Litby[.]us来伪装网络钓鱼链接,并利用合法的身份验证服务validation.com来盗取身份证件。研究人员将此次网络钓鱼活动与伊朗 APT 组织Phosphorus(又名APT35、Charming Kitten)联系起来。
和伊朗有关的网络攻击者 APT35组织(又名Rocket Kitten)正在积极利用VMware的关键远程代码执行 (RCE) 漏洞CVE-2022-22954。攻击者利用此漏洞获得初始访问权限,最终在易受攻击的系统上部署Core Impact高级渗透测试工具。
2021 年 12 月,研究人员观察到攻击者利用Microsoft Exchange ProxyShell 漏洞通过多个 Web Shell 获取初始访问权限并执行代码,经分析,研究人员将此活动归因于APT35组织(又名Charming Kitten、TA453、COBALT ILLUSION、ITG18、Phosphorus、Newscaster)。攻击者利用的漏洞包括:CVE-2021-34473;CVE-2021-34523;CVE-2021-31207。
Phosphorus又名 Charming Kitten或APT35,是来自伊朗的APT组织。近日,研究人员披露了由 Phosphorus 组织开发的新工具集,其中包括一个名为PowerLess Backdoor的新型 PowerShell 后门。 简况Phosphorus组织是伊朗的APT组织,曾在2020 年末攻击美国和以色列的医学研究组织和学术研究机构,此前还针对人权活动人士、媒体部门展开攻击,并干预美国总统选举。 此次观察到的PowerLess新型后门具有加密的命令和控制通信通道,允许在受感染的系统上执行命令并终止正在运行的进程。通过在 .NET 应用程序的上下文中运行来逃避检测。除了新的PowerShell 后门外,新工具集还包括恶意软件加载程序、浏览器信息窃取程序和键盘记录工具。近期该组织频繁在攻击中使用开源工具,例如 DiskCryptor、BitLocker、Fast Reverse Proxy等。
APT35是疑似伊朗国家支持的APT组织,又名 Charming Kitten、TA453 或 Phosphorus。1月11日,研究人员披露,该组织正利用Log4Shell漏洞,释放新的模块化PowerShell后门。 简况APT35组织在目标应用安全更新之前率先利用该漏洞扫描易受攻击的系统。模块化有效载荷名为CharmPower,可以处理 C2 通信、执行系统枚举,并最终接收、解密和加载其他模块。APT35组织活动的感染链如下图: 该核心模块可以执行以下主要功能:
12月14日,微软更新了CVE-2021-44228漏洞利用指南,补充了有关利用此漏洞的多个攻击组织的信息。CVE-2021-44228漏洞也被称为 Log4Shell 或 LogJam,目前正被与伊朗、朝鲜和土耳其政府有关的威胁组织以及勒索软件团伙使用的访问代理所利用。 简况最早开始利用 Log4Shell 释放有效载荷的威胁组织是挖矿和僵尸网络团伙。微软已经观察到以下滥用 Log4Shell 漏洞的活动:Mirai 等现有僵尸网络的活动;针对易受攻击的 Elasticsearch 系统部署加密货币矿工的活动;将Tsunami后门部署到 Linux 系统的活动。其中许多活动同时针对 Windows 和 Linux 系统进行扫描和利用活动。
9 月下旬,研究人员观察到了与伊朗相关的APT35组织的攻击活动。攻击者利用了Microsoft Exchange中的ProxyShell漏洞获得了初始访问权限,最终部署勒索软件。ProxyShell是三个漏洞组合的名称:CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207。攻击者可以利用这些漏洞在 Exchange 服务器上以 SYSTEM 权限执行任意代码。 简况Phosphorus又名 APT35、Charming Kitten、Newscaster、TA453、Magic Hound 等,该组织疑似是伊朗国家运营的APT组织。此次攻击的时间线如下:
研究人员一直在调查一个长期运行的入侵活动,在 2021 年 4 月的一次威胁追踪活动中,研究人员在客户环境中的多个主机上发现了 web shell,随后分析发现了SharePoint 服务器曾遭到入侵,本地 Exchange 服务器也曾遭到入侵。研究人员分析称这两组活动是不相关的,并且是由不同的威胁组织发起的。经过分析,研究人员怀疑对Exchange服务器的入侵活动与伊朗威胁组织COBALT GYPSY有关。简况2019 年 4 月,攻击者利用 SharePoint 远程代码执行漏洞CVE-2019-0604破坏了客户环境中的多台 SharePoint 服务器,导致了多个 web shell 的创建。