【安全资讯】疑似伊朗Seedworm组织针对中东和亚洲电信公司进行间谍活动

引言

12月14日，研究人员披露了针对中东和亚洲电信和 IT 服务提供商的新间谍黑客活动。该活动已持续六个月，并且疑似与伊朗支持的Seedworm组织有关。

简况

此次活动的目标为以色列、约旦、科威特、沙特阿拉伯、阿联酋、巴基斯坦、泰国和老挝的组织，攻击者没有使用自定义恶意软件，而是依靠公开可用的合法工具、公开的恶意软件和离地攻击LotL策略。

大多数攻击中的感染媒介是未知的，只在一个目标上发现了疑似传播媒介的证据。一个可疑的ScreenConnect安装MSI似乎是通过一个名为“Special discount program.zip”的压缩文件传递的，这表明它是通过鱼叉式钓鱼邮件传播的。

针对电信公司的攻击

在 2021 年 8 月开始的针对中东一家电信公司的攻击中，攻击者创建了一项服务来启动未知的 Windows 脚本文件 (WSF)。攻击者使用 PowerShell 下载另一个 WSF 并运行，使用 Certutil 下载疑似 Ligolo 隧道工具并启动 WMI，用于获取远程机器执行以下任务：

• 执行 Certutil 下载未知文件
• 执行 Certutil 下载未知的 WSF 文件并执行 Wscript 以启动此脚本
• 执行 PowerShell 以下载和执行内容
• 执行 PowerShell 将可疑的 web shell 下载到 Exchange Server

针对电信组织的攻击的一个特点是，攻击者试图通过连接到同一地区的其他组织、电信运营商和电子设备公司的 Exchange Web Services (EWS) 来转向攻击其他目标。

疑似供应链攻击

攻击者的目标还包括一家老挝的公用事业公司。第一台似乎受到攻击的机器是 IIS Web 服务器，攻击者随后使用 PowerShell 执行以下操作：

• 下载疑似 Ligolo 隧道工具
• 下载未知的 PowerShell 脚本
• 下载未知的 XLS 文件

攻击者随后使用 PowerShell 连接到泰国一家组织的网络邮件服务器，还试图连接到属于泰国另一家公司的 IT 相关服务器。

工具集

攻击者大量使用合法工具和公开可用的黑客工具，包括：

• ScreenConnect：合法的远程管理工具
• RemoteUtilities：合法的远程管理工具
• eHorus：合法的远程管理工具
• Ligolo：反向隧道工具
• Hidec：用于运行隐藏窗口的命令行工具
• Nping：数据包生成工具
• LSASS Dumper：从本地安全机构子系统服务 (LSASS) 进程转储凭据的工具
• SharpChisel：隧道工具
• Password Dumper
• CrackMapExec：公开可用的工具，用于自动对 Active Directory 环境进行安全评估
• ProcDump：Microsoft Sysinternals 工具，用于监控应用程序的 CPU 峰值并生成故障转储，但也可用作通用进程转储实用程序
• SOCKS5 代理服务器：隧道工具
• 键盘记录器：检索浏览器凭据
• Mimikatz：公开可用的凭证转储工具

一些证据表明，伊朗 Seedworm 组织是此次活动的攻击者。Seedworm又名MuddyWater，此活动中使用的两个 IP 地址与 Seedworm 过去的活动相关联，且与早期的 Seedworm 活动之间的工具也有一些重叠。然而，Seedworm组织会定期更换其基础设施，因此研究人员无法做出确凿的归因。

总结

虽然该活动的最终目标仍然未知，但对电信运营商的关注表明，攻击者正在收集有关该行业的情报，并可能试图监控通信。