和伊朗有关的网络攻击者 APT35组织（又名Rocket Kitten）正在积极利用VMware的关键远程代码执行 (RCE) 漏洞CVE-2022-22954。攻击者利用此漏洞获得初始访问权限，最终在易受攻击的系统上部署Core Impact高级渗透测试工具。

2021 年 12 月，研究人员观察到攻击者利用Microsoft Exchange ProxyShell 漏洞通过多个 Web Shell 获取初始访问权限并执行代码，经分析，研究人员将此活动归因于APT35组织（又名Charming Kitten、TA453、COBALT ILLUSION、ITG18、Phosphorus、Newscaster）。攻击者利用的漏洞包括：CVE-2021-34473；CVE-2021-34523；CVE-2021-31207。

Phosphorus又名 Charming Kitten或APT35，是来自伊朗的APT组织。近日，研究人员披露了由 Phosphorus 组织开发的新工具集，其中包括一个名为PowerLess Backdoor的新型 PowerShell 后门。 简况Phosphorus组织是伊朗的APT组织，曾在2020 年末攻击美国和以色列的医学研究组织和学术研究机构，此前还针对人权活动人士、媒体部门展开攻击，并干预美国总统选举。 此次观察到的PowerLess新型后门具有加密的命令和控制通信通道，允许在受感染的系统上执行命令并终止正在运行的进程。通过在 .NET 应用程序的上下文中运行来逃避检测。除了新的PowerShell 后门外，新工具集还包括恶意软件加载程序、浏览器信息窃取程序和键盘记录工具。近期该组织频繁在攻击中使用开源工具，例如 DiskCryptor、BitLocker、Fast Reverse Proxy等。

APT35是疑似伊朗国家支持的APT组织，又名 Charming Kitten、TA453 或 Phosphorus。1月11日，研究人员披露，该组织正利用Log4Shell漏洞，释放新的模块化PowerShell后门。 简况APT35组织在目标应用安全更新之前率先利用该漏洞扫描易受攻击的系统。模块化有效载荷名为CharmPower，可以处理 C2 通信、执行系统枚举，并最终接收、解密和加载其他模块。APT35组织活动的感染链如下图： 该核心模块可以执行以下主要功能：

12月14日，微软更新了CVE-2021-44228漏洞利用指南，补充了有关利用此漏洞的多个攻击组织的信息。CVE-2021-44228漏洞也被称为 Log4Shell 或 LogJam，目前正被与伊朗、朝鲜和土耳其政府有关的威胁组织以及勒索软件团伙使用的访问代理所利用。 简况最早开始利用 Log4Shell 释放有效载荷的威胁组织是挖矿和僵尸网络团伙。微软已经观察到以下滥用 Log4Shell 漏洞的活动：Mirai 等现有僵尸网络的活动；针对易受攻击的 Elasticsearch 系统部署加密货币矿工的活动；将Tsunami后门部署到 Linux 系统的活动。其中许多活动同时针对 Windows 和 Linux 系统进行扫描和利用活动。

9 月下旬，研究人员观察到了与伊朗相关的APT35组织的攻击活动。攻击者利用了Microsoft Exchange中的ProxyShell漏洞获得了初始访问权限，最终部署勒索软件。ProxyShell是三个漏洞组合的名称：CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207。攻击者可以利用这些漏洞在 Exchange 服务器上以 SYSTEM 权限执行任意代码。 简况Phosphorus又名 APT35、Charming Kitten、Newscaster、TA453、Magic Hound 等，该组织疑似是伊朗国家运营的APT组织。此次攻击的时间线如下：

研究人员一直在调查一个长期运行的入侵活动，在 2021 年 4 月的一次威胁追踪活动中，研究人员在客户环境中的多个主机上发现了 web shell，随后分析发现了SharePoint 服务器曾遭到入侵，本地 Exchange 服务器也曾遭到入侵。研究人员分析称这两组活动是不相关的，并且是由不同的威胁组织发起的。经过分析，研究人员怀疑对Exchange服务器的入侵活动与伊朗威胁组织COBALT GYPSY有关。简况2019 年 4 月，攻击者利用 SharePoint 远程代码执行漏洞CVE-2019-0604破坏了客户环境中的多台 SharePoint 服务器，导致了多个 web shell 的创建。

研究人员披露，与伊朗有关的Charming Kitten APT组织正伪装成与伦敦大学东方和非洲研究学院合作的英国学者，对中东地区的学术专家发起网络钓鱼攻击。研究人员将此次网络钓鱼活动命名为Operation SpoofedScholars ，攻击者通过学术机构的合法站点来创建他们的凭证网络钓鱼基础设施。攻击的目标包括中东事务专家、知名学术机构资深教授、报道中东事物的专职记者等。攻击者会伪装成英国学者与受害者建立联系，有时还会进行长时间的对话，一旦在对话中获得信任，攻击者就会向受害者发送一个注册链接，该链接实际上是伦敦大学 SOAS 电台的受感染网站。

2020年下半年，伊朗威胁组织TA453发起了凭据网络钓鱼活动，针对的目标是美国和以色列专门从事基因，神经病学和肿瘤学研究的高级医学人员。研究人员根据医学目标以及伊朗和以色列之间持续的地缘政治紧张局势，将这场活动命名为BadBlood。TA453（又名CHARMING KITTEN和PHOSPHORUS）在历史上一直与伊斯兰革命卫队（IRGC）存在关联，该组织主要针对持不同政见者、学者、外交官和新闻工作者。在2020年12月的恶意活动中，TA453通过控制的Gmail帐户，伪装成以色列著名的物理学家。该帐户（zajfman.daniel[@]gmail.com）发送了主题为“核武器一目了然：以色列”的邮件，并包含与以色列核能力相关的社会工程学诱饵。这些恶意电子邮件包含TA453控制的域

在圣诞节假期和新年初，由伊朗政府支持的黑客“Charming Kitten”组织开始针对不同的个人进行间谍活动，以收集敏感信息。Charming Kitten，也被称为APT35和Phosphorus，是伊朗伊斯兰共和国支持的黑客组织之一。在圣诞节期间，大多数公司，办公室，组织等处于关闭或半关闭状态，因此他们的技术支持和IT部门无法立即响应或审查，于是Charming Kitten开始了新一轮的攻击。对该网络钓鱼活动的样本进行审查时发现，攻击者将重点放在个人在线帐户上，尤其是个人电子邮件（Gmail，Yahoo！和Outlook）和企业电子邮件（组织和大学电子邮件）。在访问帐户的凭据详细信息之后，他们从受害者那里窃取了敏感数据。