【安全资讯】伊朗UNC3313组织在网络间谍活动中使用新型后门

引言

2021年11 月，研究人员观察到了针对中东政府和技术实体的攻击活动，并将此次活动归因于UNC3313集群。攻击者在活动中使用了GRAMDOOR和STARWHALE新型后门。

简况

研究人员以适度的信心评估，UNC3313组织与MuddyWater组织有关。MuddyWater是至少从 2017 年 5 月开始活跃的伊朗APT组织，多年来一直在更新他们的工具包，包括POWERSTATS、POWGOOP和MORIAGENT等恶意软件。2022 年 1 月 12 日，美国政府公开表示，MuddyWater组织隶属于伊朗情报和安全部 (MOIS)。

MuddyWater组织历来以中东，中亚和南亚为目标，目标行业包括政府、国防、电信、能源和金融。目标模式和相关诱饵显示出对中东电信部门和具有地缘政治关系的目标的强烈关注。

UNC3313最初通过鱼叉式网络钓鱼攻击获得了对客户环境的访问权限。网络钓鱼邮件诱饵主题为职位晋升，并诱使多名受害者单击 URL 以下载托管在云存储服务 OneHub 上的 RAR 存档文件。RAR 档案包含一个安装 ScreenConnect 远程访问软件以建立立足点的 Windows Installer .msi 文件。

UNC3313通过 ScreenConnect 建立远程访问，以便在初始入侵后一小时内渗透系统。攻击的后续阶段涉及提升权限、对目标网络执行内部侦察，以及运行混淆的 PowerShell 命令以在远程系统上下载其他工具和有效负载。

此外，研究人员还观察到了一个名为 STARWHALE 的以前未记录的后门，这是一个 Windows 脚本文件后门 ，通过 HTTP 从命令和控制 (C2) 服务器接收命令，并通过 Windows cmd.exe 执行这些命令。STARWHALE的代码片段如下所示：

在攻击过程中交付的另一个植入程序为 GRAMDOOR，它能够使用 Telegram Bot API 进行通信。 GRAMDOOR从攻击者创建的 Telegram 聊天室发送和接收消息，通过设置 Windows Run 注册表项来建立持久性机制。

总结

MuddyWater组织结合使用合法的远程访问软件、公开可用的工具（如 LIGOLO 和 CrackMapExec）以及多层编码例程，表现出了规避检测的努力。