安全星图平台

APT35

Magic Hound是一个由伊朗赞助的威胁组织，主要在中东活跃，该组织最早的活动可追溯到2014年。Magic Hound主要针对能源、政府和技术部门的组织，这些组织都在沙特阿拉伯有业务基础，或在沙特阿拉伯有商业利益。 Magic Hound与{{Rocket Kitten，Newscaster，NewsBeef}}和{ITG18}的一些基础设施有重叠。

历史活动组织概况 IOC情报

2023-03-17
Charming Kitten伪装成大西洋理事会雇员发起网络钓鱼安恒威胁情报中心

2023年2月24日，多个参与中东政治事务研究的人在推特上表示，推特账户@SaShokouhi自称是大西洋理事会的雇员与其联络。分析表明，此次活动是Charming Kitten组织发起的网络钓鱼活动，目标是记录伊朗妇女和少数群体受压情况的研究人员。攻击者创建了一个虚假的账户，然后用它来联系目标，请求采访、协助报告或讨论共同兴趣。在几天或几周的时间里与目标建立了融洽的关系，然后会发送一个恶意链接或文档来钓鱼，试图访问受害者在线电子邮件服务、社交媒体服务的凭据。
2023-02-03
COLDRIVER和TA453组织针对英国目标开展鱼叉式网络钓鱼活动安恒威胁情报中心

总部位于俄罗斯的 SEABORGIUM (Callisto Group/TA446/COLDRIVER/TAG-53) 和总部位于伊朗的 TA453 (APT42/Charming Kitten/Yellow Garuda/ITG18) 继续成功地对英国的目标组织和个人进行鱼叉式网络钓鱼攻击和其他感兴趣的领域，用于信息收集活动。2022年，攻击者目标行业包括学术界、国防、政府组织、非政府组织、智库以及政治家、记者和活动家。
2022-10-14
APT35组织使用新的恶意工具展开攻击活动安恒威胁情报中心

APT35又名Charming Kitten或Phosphorus，是来自伊朗的APT组织。近期，APT35组织在攻击活动中部署了一个名为PowerLess Backdoor的新PowerShell后门，该后门在.NET上下文中运行，而不是生成PowerShell进程。PowerLess Backdoor具有多种功能，包括下载和执行其他恶意软件和文件（键盘记录模块和浏览器信息窃取程序）、键盘记录、终止进程、窃取浏览器数据、执行任意命令等。此外，研究人员观察到Charming Kitten使用一种名为Hyperscrape的新工具从受害者邮箱中提取电子邮件。该工具允许攻击者从Yahoo、Google和Microsoft Outlook中提取电子邮件。
2022-09-14
伊朗黑客组织TA453使用“多角色模拟”新技术安恒威胁情报中心

TA453是一个伊朗威胁组织，曾攻击中东的学者和政策专家。2022年6月，TA453组织使用一种新的、精心设计的网络钓鱼技术，通过使用多个角色和电子邮件帐户，诱导目标认为这是一个真实的电子邮件对话。研究人员将这种社会工程技术称为“多角色模拟”（MPI）。攻击者向目标发送一封电子邮件，同时抄送由攻击者控制的另一个电子邮件地址，然后从该电子邮件中回复，进行虚假对话。此次活动的目标包括从事中东研究或核安全的研究人员。电子邮件活动的时间表如下：
2022-06-15
伊朗Phosphorus组织攻击以色列和美国前高级官员安恒威胁情报中心

6月14日，研究人员揭露了最近在伊朗开展的针对前以色列官员、高级军事人员、研究机构研究员、智囊团和以色列公民的鱼叉式网络钓鱼行动。攻击者使用了一个虚假的缩短网址 Litby[.]us来伪装网络钓鱼链接，并利用合法的身份验证服务validation.com来盗取身份证件。研究人员将此次网络钓鱼活动与伊朗 APT 组织Phosphorus（又名APT35、Charming Kitten）联系起来。
2022-04-27
APT35组织利用关键的VMware RCE漏洞部署后门安恒威胁情报中心

和伊朗有关的网络攻击者 APT35组织（又名Rocket Kitten）正在积极利用VMware的关键远程代码执行 (RCE) 漏洞CVE-2022-22954。攻击者利用此漏洞获得初始访问权限，最终在易受攻击的系统上部署Core Impact高级渗透测试工具。
2022-03-24
APT35组织利用 ProxyShell 漏洞获取初始访问权限猎影实验室

2021 年 12 月，研究人员观察到攻击者利用Microsoft Exchange ProxyShell 漏洞通过多个 Web Shell 获取初始访问权限并执行代码，经分析，研究人员将此活动归因于APT35组织（又名Charming Kitten、TA453、COBALT ILLUSION、ITG18、Phosphorus、Newscaster）。攻击者利用的漏洞包括：CVE-2021-34473；CVE-2021-34523；CVE-2021-31207。
2022-02-11
PowerLess：Phosphorus组织使用的新后门猎影实验室

Phosphorus又名 Charming Kitten或APT35，是来自伊朗的APT组织。近日，研究人员披露了由 Phosphorus 组织开发的新工具集，其中包括一个名为PowerLess Backdoor的新型 PowerShell 后门。简况Phosphorus组织是伊朗的APT组织，曾在2020 年末攻击美国和以色列的医学研究组织和学术研究机构，此前还针对人权活动人士、媒体部门展开攻击，并干预美国总统选举。此次观察到的PowerLess新型后门具有加密的命令和控制通信通道，允许在受感染的系统上执行命令并终止正在运行的进程。通过在 .NET 应用程序的上下文中运行来逃避检测。除了新的PowerShell 后门外，新工具集还包括恶意软件加载程序、浏览器信息窃取程序和键盘记录工具。近期该组织频繁在攻击中使用开源工具，例如 DiskCryptor、BitLocker、Fast Reverse Proxy等。
2022-01-12
APT35组织利用 Log4j 漏洞分发新型模块化后门猎影实验室

APT35是疑似伊朗国家支持的APT组织，又名 Charming Kitten、TA453 或 Phosphorus。1月11日，研究人员披露，该组织正利用Log4Shell漏洞，释放新的模块化PowerShell后门。简况APT35组织在目标应用安全更新之前率先利用该漏洞扫描易受攻击的系统。模块化有效载荷名为CharmPower，可以处理 C2 通信、执行系统枚举，并最终接收、解密和加载其他模块。APT35组织活动的感染链如下图：该核心模块可以执行以下主要功能：
2021-12-16
微软发现多个APT组织滥用Log4j 漏洞进行恶意活动猎影实验室

12月14日，微软更新了CVE-2021-44228漏洞利用指南，补充了有关利用此漏洞的多个攻击组织的信息。CVE-2021-44228漏洞也被称为 Log4Shell 或 LogJam，目前正被与伊朗、朝鲜和土耳其政府有关的威胁组织以及勒索软件团伙使用的访问代理所利用。简况最早开始利用 Log4Shell 释放有效载荷的威胁组织是挖矿和僵尸网络团伙。微软已经观察到以下滥用 Log4Shell 漏洞的活动：Mirai 等现有僵尸网络的活动；针对易受攻击的 Elasticsearch 系统部署加密货币矿工的活动；将Tsunami后门部署到 Linux 系统的活动。其中许多活动同时针对 Windows 和 Linux 系统进行扫描和利用活动。
查看更多