神秘的“SmudgedSerpent”组织:揭秘伊朗针对美国智库的网络钓鱼攻击

伊朗代号为“UNK_SmudgedSerpent”的APT组织在2025年夏季对美国重要智库及政策专家发起高度定向的网络钓鱼攻击。攻击手段融合了多个伊朗知名黑客组织的策略,并使用了远程监控管理软件,其具体归属仍是一个谜团。

伊朗神秘的“SmudgedSerpent”APT组织网络钓鱼美国政策专家

伊朗在今年夏季针对美国著名智库发起了高度定向的网络钓鱼攻击。

你是否曾想过那些不喜欢你的人在背后如何议论你?或许仅从这一点来看,你有点像伊朗伊斯兰共和国。在2025年6月至8月期间,伊朗政府监视了美国的学者和外交政策专家,希望收集战略情报(或者只是一些小道消息)。

然而,目前尚不清楚究竟是哪个威胁行为体进行了所有这些窥探活动。Proofpoint暂时将该组织标记为“UNK_SmudgedSerpent”,因为其战术、技术和程序与伊朗大多数主要的高级持续威胁组织存在重叠。该组织的攻击目标与TA453(又名Charming Kitten, Mint Sandstorm)相同,并借鉴了其网络钓鱼方法。另一方面,它使用了与TA455(Smoke Sandstorm)一致的基础设施。而且,除了TA450(MuddyWater, Mango Sandstorm)之外,它是已知唯一部署远程监控和管理软件的伊朗威胁行为体。

伊朗监视美国政策专家

在颇具影响力的布鲁金斯学会担任副主席兼外交政策项目主任的Suzanne Maloney,在X个人简介中称自己为“伊朗迷”。UNK_SmudgedSerpent显然做了功课,以冒充这位在美国关于伊朗事务的讨论中如此核心的人物。

2025年6月中旬,该组织试图通过一个略微拼写错误的Gmail账户和一个精心设计的电子邮件签名来冒充Maloney。它向另一个美国智库的20名成员发送了电子邮件,使用了现在已很老套的提议合作项目的策略。在其他后来的案例中,黑客则冒充经济学家和中东学者Patrick Clawson,使用的诱饵更直接地提及伊朗地缘政治事务。

如果目标上钩,UNK_SmudgedSerpent会首先对其进行审查,然后发送一个恶意URL,伪装成开源生产力平台OnlyOffice或Microsoft Teams的链接。通过一个可疑的重定向,该链接最终会跳转到一个Microsoft 365凭据钓鱼页面,页面上已预先加载了受害者的电子邮件及其雇主的标识以增强真实性。

在Proofpoint观察到的攻击链中,受害者对微软门户表示了怀疑,因此UNK_SmudgedSerpent采取了双重手段。它试图让受害者下载诱饵文档和一个压缩文件,谎称这些文件与虚假的合作计划有关。压缩包中包含一个RMM安装程序,而奇怪的是,UNK_SmudgedSerpent随后又部署了第二个RMM。研究人员很难解释这一点。报告指出:“UNK_SmudgedSerpent可能在凭据窃取尝试未成功,并且该威胁行为体开始怀疑Proofpoint的调查后,将RMM软件作为一种可舍弃的备选方案进行部署。”

然而,最奇怪的是,在已知的伊朗威胁活动背景下,整个情况显得多么反常。研究人员将攻击的第一阶段——UNK_SmudgedSerpent的目标人群类型、其钓鱼邮件的语气、使用的电子邮件提供商、伪造的Microsoft Teams链接以及窃取凭据和投放恶意软件的目标——描述为高度让人联想到通常被称为“Charming Kitten”的组织。但OnlyOffice的部分,以及支持攻击的所有基础设施,看起来更像是TA455所为。更令人困惑的是,他们指出,在伊朗所有与政府结盟的威胁行为体中,已知只有MuddyWater使用过RMM。

UNK_SmudgedSerpent是谁?——这重要吗?

Proofpoint就UNK_SmudgedSerpent为何如此顽固地拒绝被归入单一类别提出了几种假设。例如,可能是伊朗政府内部的一个或多个网络团队解散、合并或以其他方式重组,成员们随之带来了各自的专长。

另一种解释是,可能存在一个中央实体,为多个组织提供基础设施或恶意软件方面的帮助。或者,也许伊斯兰革命卫队和情报与国家安全部这两个容纳政府网络威胁行为体的机构之间存在某种合作或交流元素。

还有更多可能性。伊朗的许多国家黑客都在同一个地方接受训练,因此表面上不同的组织可能雇佣了具有相似、流动技能组合的成员。Proofpoint的高级威胁研究员Saher Naumaan表示:“虽然在伊朗,提供支持的组织或承包商通常是针对特定机构的,但也有为IRGC和MOIS双方服务的学院或培训组织的例子,这意味着技能或技术不仅可以在团队间共享,还可以跨机构共享。”

对Naumaan来说,确切了解此类攻击背后的人不仅仅具有学术意义。这对于以情报驱动的安全方法至关重要,并且不那么明显的是,“归因在商业意义上对组织的领导者和董事来说是相关的,可以证明对网络安全和威胁情报进行财务和资源投入的合理性。对于具有特定威胁模型的给定公司,攻击者之前很可能已经针对该行业或地区的类似组织,并且很可能会再次攻击,这为该组织面临的实际威胁、潜在入侵可能是什么样子以及可采取的预防步骤提供了证据。”

她承认“归因的影响确实难以量化,但很难防御你不理解的威胁。”

关于作者

Nate Nelson, 特约撰稿人 Nate Nelson是一位居住在纽约市的作家。他曾是Threatpost的记者,并撰写了Apple和Spotify上获奖的Top 20科技播客“Malicious Life”。在Dark Reading之外,他还共同主持“The Industrial Security Podcast”。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次