应对伊朗国家资助间谍活动:威胁猎手的三项策略与技术剖析
长期以来,伊朗的网络威胁时常被俄罗斯和中国的威胁所掩盖,但它已成为全球组织面临的严峻挑战。伊朗的网络行动已从业余黑客团体,演变成一个成熟、专业且流动的互联生态系统,该生态系统利用第三方承包商、定制和公开可用的工具以及一系列技术来实现伊朗政府的战略目标。
最近,一个新被识别的、代号为UNK_SmudgedSerpent的攻击集群的活动,说明了伊朗威胁行为者如何融合了曾与不同团体相关的战术、技术与程序(TTPs),使得防御者的归因工作变得更加复杂。我们自2025年6月以来的研究显示,UNK_SmudgedSerpent借用的技术主要与TA453(迷人小猫)、TA455(烟雾沙尘暴)和TA450(浑水)的攻击手册相关。这种方法的共享可能表明伊朗阵营团体之间的协作和适应能力有所增强。
这次引人注目的行动以美国的学者和外交政策专家为目标。在一次定制的社会工程学尝试中,攻击者冒充布鲁金斯学会的一名主任,通过精心策划的、包含政治和时事诱饵内容的电子邮件发起联系。在旨在与目标建立信任的长时间交流后,该组织从进行无害的对话转变为发送恶意电子邮件。
UNK_SmudgedSerpent发送了一个指向所谓的OnlyOffice文档的链接(模仿了TA455的技术),但它实际上导向了一个伪装成健康主题网站的凭据收集站点。当此方法失败后,攻击者转而通过一个存档文件投递恶意软件,该文件包含合法的远程管理软件(PDQConnect)——这是一种常与TA450相关的策略。
这种社会工程学、伪装合法内容投递以及滥用合法工具的融合,体现了现代伊朗网络行动的复杂性和资源利用能力的不断演变。
归因之谜:这意味着什么?
尽管各团体为支持国家目标而承担的任务和职责相对一致,但UNK_SmudgedSerpent复杂的TTPs迫使我们重新审视如何看待伊朗威胁团体的行动结构。团体之间的联系的可信度各不相同,但总体上表明这是一个相互关联的生态系统。有几种假设可以解释这种融合:
- 共享资源与开发:可能存在一个中央实体开发或采购工具、恶意软件和基础设施,然后分发给不同的行动团队。一个向多个团体传授相同技能的公共培训学院也可以解释这种重叠。
- 人员流动性:网络安全世界瞬息万变。攻击者可能在不同团队之间流动,并带来他们偏好的TTPs。像UNK_SmudgedSerpent这样的新团体,可能代表了来自其他成熟团队的操作员的合并。
- 承包商驱动的行动:伊朗倾向于严重依赖承包商网络来执行其网络行动。像伊斯兰革命卫队(IRGC)或情报部(MOIS)这样的赞助机构可能会将类似的目标任务分配给多个承包商团队,导致他们在追求共同目标时在方法和基础设施上自然交叉。
无论确切原因如何,首席信息安全官们需要注意:技术和政治归因都具有重要意义和相关性。对于潜在的目标组织而言,理解攻击者的TTPs可以在战术层面支持安全运营中心(SOC)或渗透测试职能中以情报为主导的网络防御,并在发生入侵时指导事件响应调查。通过基于攻击者动机和先前活动构建攻击者画像,我们可以预防——或至少减轻——入侵造成的损害。
安全专业人员现在应该做什么
像UNK_SmudgedSerpent这样的行为者的出现,强调了我们需要的威胁情报必须是动态的,并且同时关注行为和行为者本身。这表明我们需要建立一个兼顾技术特征和政治归因的纵深防御策略。以下是向前推进的三种方式:
- 聚焦人为因素。UNK_SmudgedSerpent的活动始于针对性强且令人信服的社会工程学。最初的攻击入口点是检测发件人、邮件头和行为异常模式的第一机会。旨在处理和分析网络钓鱼活动的高级电子邮件安全工具是组织防御不可或缺的一部分。
- 建立对TTPs和攻击指标(IoCs)的更广泛理解:随着攻击者界限日益模糊,以及合法服务(如云/文件共享平台以及商业和开源工具)的使用和滥用,仅仅专注于追踪定制基础设施和恶意软件已经不够。组织必须评估并限制允许在组织环境中运行的流程和工具,同时跟上在威胁环境中突出的攻击者和技术的步伐。
- 投资于威胁情报:安全团队需要能够接触到描绘威胁团体演变、其基础设施和首选方法的研究。这有助于为组织设计合适的威胁模型,该模型应考虑到攻击者的动机、历史上针对的行业和地理区域,以及典型感染的属性。
UNK_SmudgedSerpent刚刚崭露头角,但其采用的技术是持续不断且不断演变的间谍活动的延伸。对于首席信息安全官而言,这是一个明确的信号:对手正在适应。我们的防御也必须如此。