一、事件概述:
在2024年10月21日,一系列伪装成以色列国家网络局(INCD)的电子邮件被发送至多个以色列组织。这些邮件来自一个欺诈性地址,警告收件人紧急更新他们的Chrome浏览器。美国联邦调查局(FBI)、美国财政部和以色列国家网络安全局(INCD)联合发布的网络安全咨询报告将此次活动中使用的恶意软件,由Check Point Research命名为WezRat,归咎于伊朗网络组织Emennet Pasargad。该组织对美国、法国、瑞典和以色列的多个目标进行了网络操作。二、组织事件及背景
Emennet Pasargad是一个与伊朗伊斯兰革命卫队(IRGC)有关联的网络组织,多年来一直受到网络防御组织的监视。该组织的历史活动包括:
三、攻击过程技术分析:
Check Point Research在FBI、美国财政部和INCD的联合网络安全咨询后,对WezRat进行了深入分析。WezRat的早期版本可以追溯到2023年8月,也被归咎于Emennet Pasargad。
- 钓鱼邮件: 钓鱼邮件包含了一个链接,看似指向官方的INCD网站,但实际上是一个欺骗性的相似域名。受害者点击链接后,会自动下载名为“Google Chrome Installer”的文件,然后被重定向到真正的INCD网站。
- 感染链: 下载的“Google Chrome Installer”包含了合法的Google Chrome安装程序和相关文件,但也包含了WezRat的最新版本,一个名为Updater.exe的后门。
- WezRat功能:WezRat能够执行命令、截屏、上传文件、执行键盘记录和窃取剪贴板内容及cookie文件。某些功能由从命令和控制(C&C)服务器下载的DLL文件形式的个别模块执行,使后门的主要组件看起来不那么可疑。
- 后端代码:Check Point Research在分析中发现了WezRat后端的部分源代码,并找到了证据表明可能有不同组织负责恶意软件的开发和操作。通常,一个攻击者会开发并操作工具,但在这个案例中,很明显有一个拥有开发和操作部门的组织在背后支持恶意软件。
图 1 WezRat感染链
四、事件总结
在本次事件中,发现伊朗网络组织Emennet Pasargad利用精心设计的钓鱼邮件和高级定制的WezRat恶意软件,展现了其在技术层面的先进性和执行复杂网络间谍活动的灵活性。WezRat的多功能性和模块化设计不仅使其成为一个难以检测和防御的威胁,而且能够执行包括远程命令注入和数据窃取在内的多种攻击阶段的恶意活动。此外,Emennet Pasarga组织还展示了其根据不同的目标和情境调整攻击策略的能力,这进一步证明了该组织在国际网络空间中的威胁潜力。
参考链接:
https://blog.checkpoint.com/research/spotlight-on-iranian-cyber-group-emennet-pasargads-malware/
文章来源: https://mp.weixin.qq.com/s?__biz=MzI0MTE4ODY3Nw==&mid=2247492416&idx=1&sn=56e31c02aa497b57fc1b7536ce1e0250&chksm=e90dc96ade7a407c725c16a2cf2008580394a743fcbaa68e9c1307c92eb766cc77ad0ff11b54&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh