伊朗关联黑客冒充阿曼外交部，利用复杂恶意宏攻击全球政府实体

网络安全研究人员发现一起复杂的、与伊朗关联的鱼叉式网络钓鱼活动。该活动利用遭入侵的阿曼外交部（MFA）邮箱，向全球政府实体投递恶意载荷。

分析人员将该行动归因于“Homeland Justice”组织，该组织被认为与伊朗情报和安全部（MOIS）结盟。攻击者利用窃取的外交通信、编码宏和多层规避技术，在地缘政治紧张局势加剧的背景下，发起了新一轮的地区间谍活动。

带有恶意宏的外交诱饵

攻击者通过劫持阿曼外交部驻巴黎的官方电子邮件帐户发起攻击，发送看似包含紧急多因素认证（MFA）通知的邮件。收件人包括大使馆、领事馆和国际组织，并被催促“启用内容”以查看据称合法的Word文档。

这些附件中嵌入了一个VBA宏释放器（dropper），该释放器从一个隐藏窗体控件中存储的三位数字序列重建二进制载荷。文档打开时，宏执行了一个四部分链：

1. 延迟与反分析： 一个嵌套循环例程（laylay）触发了数千次无操作迭代，以拖延沙箱和动态分析环境。
2. 载荷解码： 函数（dddd）将用户窗体TextBox控件中的三位数字解析为ASCII字符，重建恶意软件可执行文件的二进制代码。
3. 隐秘投放与执行： 解码后的载荷被写入C:\Users\Public\Documents\ManagerProc.log——一个看似无害的日志文件——并通过带有错误抑制的Shell命令隐藏启动。
4. 持久化与清理： 进一步的延迟确保进程安静地完成，宏的简单错误处理程序则掩盖了任何失败。

此执行链是典型的基于宏的投递方式，但对数字编码和故意延迟的使用提升了其隐蔽性，使攻击者能够绕过标准的电子邮件安全过滤器和沙箱检查。

全球区域性间谍活动

法医审查发现了从104个唯一的阿曼外交部地址发送的270封鱼叉式钓鱼邮件，表明了该活动的广泛性。基础设施日志显示攻击者使用了约旦的NordVPN出口节点来掩盖邮件的真实来源。目标横跨全球六个区域：

• 欧洲： 10个国家，73个唯一地址。
• 非洲： 12个国家，30个地址。
• 亚洲： 7个国家，25个地址。
• 中东： 7个国家，20个地址。
• 美洲： 11个国家，35个地址。
• 国际组织： 10个机构，12个地址。

欧洲是主要焦点，而非洲使团也面临大量攻击。攻击目标包括联合国、联合国儿童基金会、世界银行等知名多边组织，凸显了攻击者对战略外交和人道主义网络的兴趣。此外，攻击时机恰逢微妙的地区谈判，表明其情报收集旨在影响或预测外交结果。

规避、侦察与下一阶段风险

被投放的可执行文件名为sysProcUpdate，展现了进一步的复杂性。它采用了反分析方法——如自定义未处理异常过滤器和节区打包（section packing）——使逆向工程复杂化。

一旦激活，该恶意软件会收集主机元数据（用户名、计算机名、管理员状态），加密信息，并通过HTTPS POST发送到命令与控制服务器（https://screenai.online/Home/）。即使在服务器无法访问时，一个信标循环也能确保持续的连接尝试。

为了维持立足点，sysProcUpdate将自身复制到C:\ProgramData\sysProcUpdate.exe，并修改了DNS缓存参数下的Windows注册表设置，这可能为未来的横向移动提供便利。攻击者强调侦察，表明这波初始攻击旨在绘制内部网络拓扑图，并为后续利用识别高价值系统。

缓解建议

• 阻断指示器： 阻断与screenai.online的通信，并隔离匹配已知哈希值的文档（例如，包含sysProcUpdate载荷的文档）。
• 宏安全策略： 默认禁用Office安装中的宏，并对任何启用的宏强制执行严格的签名要求。
• 网络监控： 检查发往未知或异常域名的出站POST流量，并与内部用户活动进行关联分析。
• 注册表审计： 定期检查关键的DNS和TCP/IP注册表项是否存在未经授权的修改。
• VPN流量分析： 标记通过不符合组织规范的节点（特别是位于非受影响地区的出口节点）进行的VPN登录激增情况。

通过结合强大的电子邮件过滤、主动的网络防御以及培训用户识别欺骗性宏诱饵，组织可以阻止这种类型的鱼叉式网络钓鱼，并限制对手建立间谍或破坏活动秘密访问的能力。

入侵指标（IoCs）