伊朗黑客在航空航天和国防攻击中使用DEEPROOT和TWOSTROKE恶意软件

伊朗网络间谍组织利用TWOSTROKE和DEEPROOT等复杂恶意软件，加大了对中东地区航空航天、航空和国防部门的攻击力度。这些行动与威胁集群UNC1549有关，该集群也被称为Nimbus Manticore或Subtle Snail，由谷歌旗下的网络安全公司Mandiant识别。UNC1549的活动始于2023年底，预计将持续到2025年，采用复杂方法渗透目标网络。他们利用第三方关系，通常从服务提供商入手以访问实际目标，并使用虚拟桌面基础设施（VDI）突破实现网络横向移动。利用职位诱饵的鱼叉式钓鱼是获取初始访问权限的另一关键策略。\n\n该组织的攻击策略尤为巧妙，他们利用第三方供应商和合作伙伴的弱点，而非直接攻击防御严密的主要目标。通过劫持与Citrix、VMWare和Azure虚拟桌面等服务相关的凭据，他们建立初始立足点，然后突破虚拟会话以获得完整系统访问权限。针对IT人员和管理员是另一种策略，以收集具有提升权限的凭据，实现更深层次的网络渗透。一旦进入，UNC1549会进行广泛的后利用活动，如侦察、凭据窃取、横向移动和防御规避，同时提取有价值的网络文档、知识产权和电子邮件。\n\nUNC1549使用一系列定制工具执行攻击。MINIBIKE（又名SlugResin）是一个C++后门，能够收集系统信息、窃取Outlook凭据、记录击键和截屏。TWOSTROKE同样是一个C++后门，具备DLL加载和文件操作能力。DEEPROOT是基于Golang的Linux后门，支持shell命令执行和文件操作。他们还使用LIGHTRAIL、GHOSTLINE和POLLBLEND等多种隧道工具，以保持与指挥控制服务器的隐秘通信。其他工具包括用于凭据提取、权限提升和截屏的实用程序。\n\n除了恶意软件武器库外，UNC1549还利用公开可用的软件，如AD Explorer查询Active Directory，以及Atelier Web Remote Commander（AWRC）和SCCMVNC等远程管理工具进行侦察和控制。他们采取有意措施阻碍取证调查，通过删除注册表键中的远程桌面协议（RDP）连接历史。Mandiant强调该组织注重隐蔽性和持久性，后门可能潜伏数月，仅在受害者尝试清除时激活以重新获得访问权限。他们的指挥控制基础设施模仿合法行业域名，进一步避免被检测。\n\n此次行动不仅因其技术复杂性而引人注目，还因其利用供应链弱点，这一漏洞正日益成为国家支持的威胁行为者的攻击目标。这种方法反映了网络间谍活动中的一个增长趋势，即攻击者聚焦外围实体以接触高价值目标。瑞士网络安全公司PRODAFT的最新报告也将UNC1549与针对欧洲电信公司的攻击联系起来，显示该组织的广泛地理覆盖和多样化目标。随着这些行动的持续，防御和航空航天行业必须加强不仅自身网络的安全，还要覆盖整个供应链，以防御此类持久且适应性强的威胁。