伊朗关联黑客组织冒充阿曼外交部,利用恶意宏攻击政府实体
网络安全研究人员揭露了一起与伊朗有关联的、复杂的鱼叉式钓鱼攻击活动。该活动利用一个被入侵的阿曼外交部(MFA)邮箱,向全球的政府实体投递恶意载荷。
分析人员将该行动归因于“Homeland Justice”组织,据信其与伊朗情报和安全部(MOIS)有关联。该行动利用了被盗的外交通信、编码的宏指令和多层规避技术,凸显了在地缘政治紧张局势加剧之际,攻击者为进行区域间谍活动所做的新的努力。
带恶意宏指令的外交诱饵
攻击者通过劫持阿曼驻巴黎外交部的官方电子邮件账户发起活动,发送看似包含紧急多因素认证(MFA)通知的邮件。从使馆、领事馆到国际组织的收件人均被敦促“启用内容”以查看据称是合法的Word文档。
这些附件中嵌入了一个VBA宏释放器,该释放器从一个隐藏在表单控件中的三位数数字序列中重构二进制载荷。文档打开后,宏执行一个四部分链:
- 延迟与反分析:一个嵌套循环例程(laylay)触发了数千次无操作迭代,从而延迟沙箱和动态分析环境的检测。
- 载荷解码:函数(dddd)将用户表单文本框控件中的三位数数字解析为ASCII字符,重新构建恶意软件可执行文件的二进制文件。
- 隐蔽释放与执行:解码后的载荷被写入
C:\Users\Public\Documents\ManagerProc.log(一个看似无害的日志文件),并通过带有错误抑制功能的Shell命令隐藏启动。 - 持久化与清理:进一步的延迟确保了进程安静地完成,宏的简单错误处理程序隐藏了任何失败。
这个执行链是典型的基于宏的投递方式,但数字编码和故意的延迟提升了其隐蔽性,使得攻击者能够绕过标准的电子邮件安全过滤器和沙箱检测。
全球区域间谍活动
法证审查确定了从104个独特的阿曼外交部地址发送的270封鱼叉式钓鱼邮件,表明了该活动的广泛影响范围。基础设施日志显示,攻击者使用了位于约旦的NordVPN出口节点来掩盖邮件的真实来源。目标遍布全球六个区域:
- 欧洲:10个国家,73个独特地址。
- 非洲:12个国家,30个地址。
- 亚洲:7个国家,25个地址。
- 中东:7个国家,20个地址。
- 美洲:11个国家,35个地址。
- 国际组织:10个机构,12个地址。
欧洲成为主要目标,同时非洲的使团也面临着重度攻击。对联合国、联合国儿童基金会、世界银行等多边重要组织的纳入,凸显了攻击者对战略外交和人道主义网络的兴趣。此外,攻击时间恰逢微妙的地区谈判,这表明情报收集旨在影响或预测外交结果。
规避、侦察与下一阶段风险
被释放的可执行文件(名为sysProcUpdate)展示了进一步的复杂性。它采用了反分析方法——例如自定义未处理异常过滤器和节区打包——来增加逆向工程的难度。
一旦激活,该恶意软件会收集主机元数据(用户名、计算机名、管理状态),加密信息,并通过HTTPS POST请求发送到命令与控制服务器(https://screenai.online/Home/)。一个信标循环确保即使服务器无法访问,也能持续尝试连接。
为了维持据点,sysProcUpdate将自身复制到C:\ProgramData\sysProcUpdate.exe,并修改了Windows注册表中DNS缓存参数下的设置,这可能为未来的横向移动提供便利。攻击者强调侦察工作,表明这波初始攻击旨在绘制内部网络拓扑并识别用于后续利用的高价值系统。
缓解建议
- 指标屏蔽:阻断与
screenai.online的通信,并隔离与已知哈希值匹配的文档。 - 宏安全策略:默认Office安装设置为禁用宏,并对任何启用的宏强制执行严格的签名要求。
- 网络监控:检查流向未知或不常见域的出站POST流量,并与内部用户活动关联。
- 注册表审计:定期验证关键的DNS和TCP/IP注册表键值是否存在未经授权的修改。
- VPN流量分析:标记通过不符合组织规范的节点(特别是位于非受影响区域的出口节点)的VPN登录突然激增情况。
通过结合强大的电子邮件过滤、主动的网络防御以及培训用户识别欺骗性的宏诱饵,组织可以阻止这种类型的鱼叉式钓鱼攻击,并限制对手建立用于间谍活动或破坏的隐蔽访问的能力。
危害指标 (IoCs)
| 类型 | 哈希 / 域名 / URL | 文件 / 资源名称 |
|---|---|---|
| 域名 | screenai[.]online |
C2 域名 |
| URL | https://screenai.online/Home/ |
主 C2 URL 路径(含数十个子路径) |
| DOC | b2c52fde1301a3624a9ceb995f2de4112d57fcbc6a4695799aec15af4fa0a122 | Online Seminar.FM.gov.om.dnr.doc |
| DOC | 1c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a1 | 1c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a1.doc |
| DOC | 2c92c7bf2d6574f9240032ec6adee738edddc2ba8d3207eb102eddf4ab963db0 | DPR for dredging in FreeSpan_16082025.2.doc |
| DOC | 80e9105233f9d93df753a43291c2ab1a010375357db9327f9fe40d184f078c6b | DPR for dredging in FreeSpan_16082025.2.doc |
| DOC | f0ba41ce46e566f83db1ba3fc762fd9b394d12a01a9cef4ac279135e4c1c67a9 | Seminar.MFA.gov.ct.tr-1.doc (copy) |
| DOC | 02ccc4271362b92a59e6851ac6d5d2c07182064a602906d7166fe2867cc662a5 | Unknown malicious DOC |
| Email (EML) | 05d8f686dcbb6078f91f49af779e4572ba1646a9c5629a1525e8499ab481dbf2 | EML2_d3ea22143ada4154bf5ea6077d7938f8.eml |
| Email (EML) | 03828aebefde47bca0fcf0684ecae18aedde035c85f9d39edd2b7a147a1146fa | EML1_b83e249519684cd2ac40ad5fcfee687d.eml |
| EXE | 76fa8dca768b64aefedd85f7d0a33c2693b94bdb55f40ced7830561e48e39c75 | sysProcUpdate.exe |
| EXE | 1883db6de22d98ed00f8719b11de5bf1d02fc206b89fedd6dd0df0e8d40c4c56 | sysProcUpdate.exe |
| EXE | 3ac8283916547c50501eed8e7c3a77f0ae8b009c7b72275be8726a5b6ae255e3 | sysProcUpdate.exe |
| EXE | 3d6f69cc0330b302ddf4701bbc956b8fca683d1c1b3146768dcbce4a1a3932ca | sysProcUpdate.exe |
| VBS Script | 20e7b9dcf954660555d511a64a07996f6178f5819f8501611a521e19fbba74b0 | ThisDocument.cls |