伊朗黑客组织使用新型恶意软件攻击欧洲

伊朗关联的网络间谍组织"Nimbus Manticore"已将其行动范围从中东传统目标扩展至西欧关键基础设施组织，使用的恶意软件变种和攻击战术持续改进。

Check Point软件公司的研究人员正在追踪该威胁组织，认为其与UNC1549（或称Smoke Sandstorm）存在重叠。在周一发布的报告中，Check Point表示新活动针对丹麦、葡萄牙和瑞典的国防制造、电信和航空公司。

复杂的恶意软件工具包

此次攻击活动的核心是"MiniJunk"——一个高度混淆的后门程序，为攻击者提供受感染系统的持久访问权限；以及"MiniBrowse"——一个轻量级窃密程序，具有分别针对Chrome和Edge浏览器窃取凭据的独立版本。

Check Point对MiniJunk的分析显示，它是"Minibike"的改进版本，后者是Mandiant等公司此前报告Nimbus Manticore使用的自定义植入程序。该恶意软件允许威胁行为者上传下载文件、执行进程、加载额外有效载荷并窃取数据。它还通过HTTPS与多个（3-5个）命令与控制（C2）服务器通信，使用混淆流量使监控和检测更加困难。

恶意软件的新功能包括一种以前未记录的方法，可在受感染系统上加载恶意动态链接库（DLL）或文件。Check Point表示，MiniJunk还使用垃圾代码、异常大的文件和代码签名，使防御者的检测变得更加困难，“这表明攻击者的能力显著提高”。

先进的混淆技术

据Check Point称，恶意软件作者在MiniJunk和MiniBrowse中都实现了编译器级代码混淆，在编译时自动修改程序代码。攻击者似乎投入了大量精力开发并将这些混淆技术融入恶意软件的每个构建中，以减少检测，并使静态分析和逆向工程对防御者来说更加耗时。

Check Point表示：“我们必须处理多种混淆技术以促进分析，包括垃圾代码插入、控制流混淆、不透明谓词、混淆函数调用和加密字符串。“并补充说发现每一代恶意软件工具都包含对先前版本的改进。

增加检测挑战的另一个事实是，Nimbus Manticore攻击者自2025年5月以来一直使用来自证书颁发机构SSL.com的证书对其恶意软件进行数字签名。基于对Nimbus Manticore使用的最新证书的分析，Check Point表示该证书"由威胁行为者生成，冒充欧洲现有的IT组织”。

高度定制的攻击

该威胁组织在最新活动中的攻击一如既往地始于高度定制的鱼叉式网络钓鱼电子邮件，这些邮件看似来自合法的人力资源招聘人员。电子邮件将受害者引导至与空客、波音、Flydubai和莱茵金属等公司相关的虚假工作登录页面。

Check Point表示：“每个目标都会收到唯一的URL和凭据，实现对每个受害者的跟踪和受控访问。这种方法展示了强大的操作安全性和可信的借口。”

当受害者使用提供的凭据登录虚假工作网站时，一个ZIP压缩包会下载到他们的计算机上，看起来非常像用户在招聘过程中期望收到的文件。在后台，该压缩包启动了一个被Check Point描述为精心设计的过程，以下载受害者系统上的恶意软件。

Check Point表示：“执行链利用了我们称为多阶段侧加载的独特技术"来安装恶意软件并建立持久性。

背景与关联

Nimbus Manticore是一个安全研究人员先前与伊朗革命卫队（IRGC）关联的威胁组织。该组织至少自2022年以来一直活跃，当时Mandiant研究人员发现该组织针对以色列和中东的航空航天和国防部门组织。

根据Check Point的说法，Nimbus Manticore的一些操作与ClearSky去年11月观察到的相同，并被追踪为伊朗"梦想工作"活动。

Check Point的公告包含具体的入侵指标，组织可用其检查网络中是否存在Nimbus Manticore活动的迹象。

像Nimbus Manticore这样的伊朗关联威胁组织属于更广泛的国家支持行为者群体，它们越来越多地针对中东以外的组织，重点关注关键基础设施、国防、电信和航空部门。