伊朗关联黑客冒充阿曼外交部针对政府实体
网络安全研究人员发现了一起复杂的、与伊朗有关的鱼叉式网络钓鱼活动,该活动利用阿曼外交部在巴黎的被入侵邮箱,向全球政府实体投递恶意载荷。
分析人员将该活动归因于"Homeland Justice"组织,据信该组织与伊朗情报和安全部(MOIS)有关联。通过利用被盗的外交通信、编码宏和分层规避技术,此次攻击活动凸显了在地缘政治紧张局势加剧背景下,区域间谍活动的新一轮推进。
带有恶意宏的外交诱饵
攻击者通过劫持阿曼外交部在巴黎的官方电子邮件账户发起攻击,发送看似包含紧急多因素认证(MFA)通知的邮件。收件人包括大使馆、领事馆和国际组织,被敦促"启用内容"以查看据称合法的Word文档。
这些附件中嵌入了一个VBA宏释放器,该释放器从隐藏在表单控件中的三位数序列重建二进制载荷。
文档打开时,宏执行一个四部分链:
- 延迟和反分析:嵌套循环例程(laylay)触发数千次无操作迭代,延迟沙箱和动态分析环境。
- 载荷解码:函数(dddd)将用户表单TextBox控件中的三位数字解析为ASCII字符,重新创建恶意软件可执行文件的二进制文件。
- 隐蔽释放和执行:解码后的载荷被写入C:\Users\Public\Documents\ManagerProc.log(一个看似无害的日志文件),并通过带有错误抑制的Shell命令隐藏启动。
- 持久性和清理:进一步的延迟确保进程安静完成,宏的简单错误处理程序隐藏任何故障。
此执行链展示了经典的基于宏的投递方式,但使用数字编码和故意延迟提升了其隐蔽性,使攻击者能够绕过标准电子邮件安全过滤器和沙箱检查。
全球区域间谍活动
取证审查发现从104个独特的阿曼外交部地址发送了270封鱼叉式钓鱼邮件,表明该活动范围广泛。基础设施日志显示使用了约旦的NordVPN出口节点来掩盖消息的真实来源。目标遍布全球六个区域:
- 欧洲:10个国家,73个独特地址
- 非洲:12个国家,30个地址
- 亚洲:7个国家,25个地址
- 中东:7个国家,20个地址
- 美洲:11个国家,35个地址
- 国际组织:10个机构,12个地址
欧洲是主要焦点,而非洲使团也面临严重针对性。包括联合国、 UNICEF、世界银行等著名多边组织,突显了攻击者对战略外交和人道主义网络的兴趣。
此外,时间点恰逢微妙的区域谈判,表明情报收集旨在影响或预测外交结果。
规避、侦察和下一阶段风险
被释放的可执行文件名为sysProcUpdate,展现出进一步的复杂性。它采用反分析方法(如自定义未处理异常过滤器和区段打包)使逆向工程复杂化。
一旦激活,恶意软件会收集主机元数据(用户名、计算机名、管理员状态),加密信息,并通过HTTPS POST发送到命令与控制服务器(https://screenai.online/Home/)。信标循环确保即使服务器无法访问也能持续尝试连接。
为维持立足点,sysProcUpdate将自身复制到C:\ProgramData\sysProcUpdate.exe,并修改Windows注册表中DNS缓存参数下的设置,可能为未来的横向移动创造条件。
攻击者对侦察的重视表明,这波初始攻击旨在绘制内部网络拓扑图并识别高价值系统,以供后续利用。
缓解建议
- 指标阻断:拒绝与screenai.online的通信,并隔离匹配已知哈希的文档(例如,携带sysProcUpdate载荷的文档)。
- 宏安全策略:默认禁用Office宏,并对任何启用的宏强制执行严格的签名要求。
- 网络监控:检查到未知或不寻常域的出站POST流量,并与内部用户活动关联。
- 注册表审计:定期验证关键DNS和TCP/IP注册表键是否存在未经授权的修改。
- VPN流量分析:标记通过不符合组织规范的节点(特别是位于未受影响区域的出口节点)的VPN登录突然激增。
通过结合强大的电子邮件过滤、主动网络防御和用户培训以识别欺骗性宏诱饵,组织可以阻止这种风格的鱼叉式网络钓鱼,并限制对手建立隐蔽访问以进行间谍活动或破坏的能力。
入侵指标(IoCs)
| 类型 | 哈希 / 域名 / URL | 文件 / 资源名称 |
|---|---|---|
| 域名 | screenai[.]online | C2域名 |
| URL | https://screenai.online/Home/ | 主C2 URL路径(包含数十个子路径) |
| DOC | b2c52fde1301a3624a9ceb995f2de4112d57fcbc6a4695799aec15af4fa0a122 | Online Seminar.FM.gov.om.dnr.doc |
| DOC | 1c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a1 | 1c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a1.doc |
| DOC | 2c92c7bf2d6574f9240032ec6adee738edddc2ba8d3207eb102eddf4ab963db0 | DPR for dredging in FreeSpan_16082025.2.doc |
| DOC | 80e9105233f9d93df753a43291c2ab1a010375357db9327f9fe40d184f078c6b | DPR for dredging in FreeSpan_16082025.2.doc |
| DOC | f0ba41ce46e566f83db1ba3fc762fd9b394d12a01a9cef4ac279135e4c1c67a9 | Seminar.MFA.gov.ct.tr-1.doc (copy) |
| DOC | 02ccc4271362b92a59e6851ac6d5d2c07182064a602906d7166fe2867cc662a5 | 未知恶意DOC |
| Email (EML) | 05d8f686dcbb6078f91f49af779e4572ba1646a9c5629a1525e8499ab481dbf2 | EML2_d3ea22143ada4154bf5ea6077d7938f8.eml |
| Email (EML) | 03828aebefde47bca0fcf0684ecae18aedde035c85f9d39edd2b7a147a1146fa | EML1_b83e249519684cd2ac40ad5fcfee687d.eml |
| EXE | 76fa8dca768b64aefedd85f7d0a33c2693b94bdb55f40ced7830561e48e39c75 | sysProcUpdate.exe |
| EXE | 1883db6de22d98ed00f8719b11de5bf1d02fc206b89fedd6dd0df0e8d40c4c56 | sysProcUpdate.exe |
| EXE | 3ac8283916547c50501eed8e7c3a77f0ae8b009c7b72275be8726a5b6ae255e3 | sysProcUpdate.exe |
| EXE | 3d6f69cc0330b302ddf4701bbc956b8fca683d1c1b3146768dcbce4a1a3932ca | sysProcUpdate.exe |
| VBS Script | 20e7b9dcf954660555d511a64a07996f6178f5819f8501611a521e19fbba74b0 | ThisDocument.cls |