安恒威胁分析平台

APT35

Magic Hound是一个由伊朗赞助的威胁组织，主要在中东活跃，该组织最早的活动可追溯到2014年。Magic Hound主要针对能源、政府和技术部门的组织，这些组织都在沙特阿拉伯有业务基础，或在沙特阿拉伯有商业利益。 Magic Hound与{{Rocket Kitten，Newscaster，NewsBeef}}和{ITG18}的一些基础设施有重叠。

历史活动组织概况 IOC情报

2022-09-14
伊朗黑客组织TA453使用“多角色模拟”新技术安恒威胁情报中心

TA453是一个伊朗威胁组织，曾攻击中东的学者和政策专家。2022年6月，TA453组织使用一种新的、精心设计的网络钓鱼技术，通过使用多个角色和电子邮件帐户，诱导目标认为这是一个真实的电子邮件对话。研究人员将这种社会工程技术称为“多角色模拟”（MPI）。攻击者向目标发送一封电子邮件，同时抄送由攻击者控制的另一个电子邮件地址，然后从该电子邮件中回复，进行虚假对话。此次活动的目标包括从事中东研究或核安全的研究人员。电子邮件活动的时间表如下：
2022-06-15
伊朗Phosphorus组织攻击以色列和美国前高级官员安恒威胁情报中心

6月14日，研究人员揭露了最近在伊朗开展的针对前以色列官员、高级军事人员、研究机构研究员、智囊团和以色列公民的鱼叉式网络钓鱼行动。攻击者使用了一个虚假的缩短网址 Litby[.]us来伪装网络钓鱼链接，并利用合法的身份验证服务validation.com来盗取身份证件。研究人员将此次网络钓鱼活动与伊朗 APT 组织Phosphorus（又名APT35、Charming Kitten）联系起来。
2022-04-27
APT35组织利用关键的VMware RCE漏洞部署后门安恒威胁情报中心

和伊朗有关的网络攻击者 APT35组织（又名Rocket Kitten）正在积极利用VMware的关键远程代码执行 (RCE) 漏洞CVE-2022-22954。攻击者利用此漏洞获得初始访问权限，最终在易受攻击的系统上部署Core Impact高级渗透测试工具。
2022-03-24
APT35组织利用 ProxyShell 漏洞获取初始访问权限猎影实验室

2021 年 12 月，研究人员观察到攻击者利用Microsoft Exchange ProxyShell 漏洞通过多个 Web Shell 获取初始访问权限并执行代码，经分析，研究人员将此活动归因于APT35组织（又名Charming Kitten、TA453、COBALT ILLUSION、ITG18、Phosphorus、Newscaster）。攻击者利用的漏洞包括：CVE-2021-34473；CVE-2021-34523；CVE-2021-31207。
2022-02-11
PowerLess：Phosphorus组织使用的新后门猎影实验室

Phosphorus又名 Charming Kitten或APT35，是来自伊朗的APT组织。近日，研究人员披露了由 Phosphorus 组织开发的新工具集，其中包括一个名为PowerLess Backdoor的新型 PowerShell 后门。简况Phosphorus组织是伊朗的APT组织，曾在2020 年末攻击美国和以色列的医学研究组织和学术研究机构，此前还针对人权活动人士、媒体部门展开攻击，并干预美国总统选举。此次观察到的PowerLess新型后门具有加密的命令和控制通信通道，允许在受感染的系统上执行命令并终止正在运行的进程。通过在 .NET 应用程序的上下文中运行来逃避检测。除了新的PowerShell 后门外，新工具集还包括恶意软件加载程序、浏览器信息窃取程序和键盘记录工具。近期该组织频繁在攻击中使用开源工具，例如 DiskCryptor、BitLocker、Fast Reverse Proxy等。
2022-01-12
APT35组织利用 Log4j 漏洞分发新型模块化后门猎影实验室

APT35是疑似伊朗国家支持的APT组织，又名 Charming Kitten、TA453 或 Phosphorus。1月11日，研究人员披露，该组织正利用Log4Shell漏洞，释放新的模块化PowerShell后门。简况APT35组织在目标应用安全更新之前率先利用该漏洞扫描易受攻击的系统。模块化有效载荷名为CharmPower，可以处理 C2 通信、执行系统枚举，并最终接收、解密和加载其他模块。APT35组织活动的感染链如下图：该核心模块可以执行以下主要功能：
2021-12-16
微软发现多个APT组织滥用Log4j 漏洞进行恶意活动猎影实验室

12月14日，微软更新了CVE-2021-44228漏洞利用指南，补充了有关利用此漏洞的多个攻击组织的信息。CVE-2021-44228漏洞也被称为 Log4Shell 或 LogJam，目前正被与伊朗、朝鲜和土耳其政府有关的威胁组织以及勒索软件团伙使用的访问代理所利用。简况最早开始利用 Log4Shell 释放有效载荷的威胁组织是挖矿和僵尸网络团伙。微软已经观察到以下滥用 Log4Shell 漏洞的活动：Mirai 等现有僵尸网络的活动；针对易受攻击的 Elasticsearch 系统部署加密货币矿工的活动；将Tsunami后门部署到 Linux 系统的活动。其中许多活动同时针对 Windows 和 Linux 系统进行扫描和利用活动。
2021-11-29
APT35组织利用ProxyShell漏洞部署勒索软件猎影实验室

9 月下旬，研究人员观察到了与伊朗相关的APT35组织的攻击活动。攻击者利用了Microsoft Exchange中的ProxyShell漏洞获得了初始访问权限，最终部署勒索软件。ProxyShell是三个漏洞组合的名称：CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207。攻击者可以利用这些漏洞在 Exchange 服务器上以 SYSTEM 权限执行任意代码。简况Phosphorus又名 APT35、Charming Kitten、Newscaster、TA453、Magic Hound 等，该组织疑似是伊朗国家运营的APT组织。此次攻击的时间线如下：
2021-07-22
研究人员发现COBALT GYPSY组织与针对Exchange 服务器的攻击有关猎影实验室

研究人员一直在调查一个长期运行的入侵活动，在 2021 年 4 月的一次威胁追踪活动中，研究人员在客户环境中的多个主机上发现了 web shell，随后分析发现了SharePoint 服务器曾遭到入侵，本地 Exchange 服务器也曾遭到入侵。研究人员分析称这两组活动是不相关的，并且是由不同的威胁组织发起的。经过分析，研究人员怀疑对Exchange服务器的入侵活动与伊朗威胁组织COBALT GYPSY有关。简况2019 年 4 月，攻击者利用 SharePoint 远程代码执行漏洞CVE-2019-0604破坏了客户环境中的多台 SharePoint 服务器，导致了多个 web shell 的创建。
2021-07-16
Operation SpoofedScholars：Charming Kitten APT组织针对中东学者进行网络钓鱼攻击猎影实验室

研究人员披露，与伊朗有关的Charming Kitten APT组织正伪装成与伦敦大学东方和非洲研究学院合作的英国学者，对中东地区的学术专家发起网络钓鱼攻击。研究人员将此次网络钓鱼活动命名为Operation SpoofedScholars ，攻击者通过学术机构的合法站点来创建他们的凭证网络钓鱼基础设施。攻击的目标包括中东事务专家、知名学术机构资深教授、报道中东事物的专职记者等。攻击者会伪装成英国学者与受害者建立联系，有时还会进行长时间的对话，一旦在对话中获得信任，攻击者就会向受害者发送一个注册链接，该链接实际上是伦敦大学 SOAS 电台的受感染网站。
查看更多