【安全资讯】WezRat：伊朗网络组织Emennet Pasargad武器化的模块化信息窃取工具

概要：

在Check Point Research发布的一项全面分析中，WezRat被确认为伊朗网络组织Emennet Pasargad的复杂工具，该组织与伊朗伊斯兰革命卫队（IRGC）有关联。该恶意软件在美国、欧洲和以色列的网络活动中被积极部署，最近一次针对以色列组织的行动通过假冒以色列国家网络局（INCD）的网络钓鱼活动进行。

主要内容：

2024年10月21日，多个伪装成官方INCD警报的钓鱼邮件向收件人施压，要求他们更新Google Chrome浏览器。这些邮件来自伪造域名alert@il-cert[.]net，模仿合法的INCD网站。受害者被诱骗下载一个名为Google Chrome Installer.msi的恶意文件，该文件不仅包含合法的Chrome安装程序，还执行了WezRat的有效载荷。根据CPR的分析，下载的MSI文件包含合法的Chrome安装程序和相关文件，但同时也植入了一个名为Updater.exe的后门并执行。

WezRat是一个模块化的信息窃取工具，具有广泛的功能，包括远程命令执行、屏幕截图、键盘记录、剪贴板和Cookie窃取，以及文件上传和下载。该恶意软件的后端基础设施显示出显著的技术投资，其C2服务器使用混淆的通信协议，并动态调整功能以避免检测。早期版本的WezRat依赖硬编码的C2地址，而更新版本则采用更先进的技术，包括混淆的DLL和加密字符串处理。

FBI、美国财政部和INCD已将WezRat归因于Emennet Pasargad，该组织以其网络和虚假信息活动而闻名。该组织在不同别名下进行操作，包括Anzu Team和For-Humanity，并且有将政治信息与网络攻击相结合的历史。