關(guān)鍵詞

黑客

Check Point 在上周發(fā)布的分析報(bào)告中指出，被稱為Nimbus Manticore（又名 Screening Serpens 和 UNC1549）的伊朗國(guó)家支持威脅行為者，在2026年2月底美以聯(lián)合軍事行動(dòng)針對(duì)伊朗后，發(fā)起了一場(chǎng)新的活動(dòng)，使用誘餌冒充美國(guó)、歐洲和中東地區(qū)航空和軟件行業(yè)的組織。

該活動(dòng)除了采用此前未記錄的技術(shù)和增強(qiáng)能力外，其特點(diǎn)還在于使用了一個(gè)代號(hào)為MiniFast（又名 MiniUpdate）的新后門，該后門似乎是在人工智能（AI）的幫助下開發(fā)的。

Nimbus Manticore 隸屬于伊朗伊斯蘭革命衛(wèi)隊(duì)（IRGC），以使用職業(yè)主題的網(wǎng)絡(luò)釣魚誘餌針對(duì)國(guó)防、航空和電信部門而聞名。這些活動(dòng)也被代號(hào)為Iranian Dream Job，原因是其戰(zhàn)術(shù)與朝鮮黑客策劃的Operation Dream Job具有相似性。

與該威脅行為者關(guān)聯(lián)的最近攻擊鏈顯示出戰(zhàn)術(shù)轉(zhuǎn)變，證據(jù)包括：在 2026 年 2 月使用 AppDomain 劫持投遞 MiniJunk，隨后在 3 月部署了 MiniFast 后門，并在 4 月依賴 SEO 投毒分發(fā) Oracle SQL Developer 軟件的木馬版本。

在戰(zhàn)爭(zhēng)開始前觀察到的第一波活動(dòng)中，沙特阿拉伯和澳大利亞軟件及航空行業(yè)的員工成為目標(biāo)，攻擊者以虛假的職業(yè)機(jī)會(huì)誘騙他們下載托管在 OnlyOffice 上的 ZIP 壓縮包。在 ZIP 文件中運(yùn)行一個(gè) benign 可執(zhí)行文件會(huì)利用稱為 AppDomain 劫持的技術(shù)啟動(dòng)惡意 MiniJunk DLL。

研究發(fā)現(xiàn)，2026 年 3 月的活動(dòng)或多或少遵循相同的方法，只是這次威脅行為者還使用了被植入木馬的 Zoom 安裝程序作為攻擊序列的一部分，啟動(dòng)二進(jìn)制文件后，該二進(jìn)制文件再利用 AppDomain 劫持部署 MiniFast。懷疑該活動(dòng)是使用虛假會(huì)議邀請(qǐng)的網(wǎng)絡(luò)釣魚活動(dòng)的一部分。

有跡象表明，Nimbus Manticore 使用 AI 輔助開發(fā)來(lái)幫助創(chuàng)建 MiniFast，這包括：過(guò)度的錯(cuò)誤處理和防御性編程邏輯、重復(fù)的函數(shù)和方法命名模式（使用描述性或冗長(zhǎng)標(biāo)識(shí)符）、多個(gè)詳細(xì)的錯(cuò)誤報(bào)告字符串和調(diào)試風(fēng)格的狀態(tài)消息，以及盡管惡意軟件整體簡(jiǎn)單但仍采用模塊化代碼組織。

Check Point 表示，上個(gè)月還觀察到一個(gè)冒充 SQL Developer 下載頁(yè)面的虛假網(wǎng)站，通過(guò) SEO 投毒誘使訪問(wèn)該頁(yè)面的訪客下載武器化安裝程序，該安裝程序會(huì)投遞 MiniFast。這是該威脅行為者首次采用這種方法進(jìn)行惡意軟件投遞。

該公司表示：“這種惡意軟件投遞方法與 Nimbus Manticore 通常的感染鏈不同，后者通常依賴職業(yè)主題的網(wǎng)絡(luò)釣魚誘餌。在這次活動(dòng)中，攻擊者濫用搜索引擎優(yōu)化技術(shù)，注冊(cè)了數(shù)十個(gè)指向虛假域名 getsqldeveloper[.]com 的域名，這可能是試圖通過(guò)基于鏈接的信譽(yù)信號(hào)提高網(wǎng)站的可見(jiàn)性。”

MiniFast 被描述為一個(gè)功能完備的后門，設(shè)計(jì)用于長(zhǎng)期持久化和遠(yuǎn)程命令執(zhí)行。它通過(guò) HTTP 請(qǐng)求與遠(yuǎn)程服務(wù)器通信，獲取任務(wù)、上傳命令執(zhí)行結(jié)果、滲出文件并從服務(wù)器下載額外載荷。在進(jìn)入任務(wù)循環(huán)之前，該惡意軟件還會(huì)向操作員發(fā)送包含基本系統(tǒng)信息的信標(biāo)。

該后門支持多種命令，支持：文件操作、目錄列表、進(jìn)程枚舉、通過(guò)“cmd.exe”執(zhí)行命令、使用 PID 終止進(jìn)程、DLL 加載、創(chuàng)建 ZIP 壓縮包、通過(guò)計(jì)劃任務(wù)持久化，以及通過(guò)“runas”命令提升權(quán)限。

該后門還支持更新輪詢間隔和應(yīng)用于信標(biāo)間隔的抖動(dòng)值，以隨機(jī)化從服務(wù)器檢索命令的頻率。

Check Point Research 威脅情報(bào)部門經(jīng)理 Sergey Shykevich 在分享給 The Hacker News 的聲明中表示：“值得注意的是，該組織的野心遠(yuǎn)遠(yuǎn)超出了在中東進(jìn)行針對(duì)性間諜活動(dòng)。我們發(fā)現(xiàn)了強(qiáng)有力的指標(biāo)表明，Nimbus Manticore 使用 AI 工具更快地編寫惡意軟件。”

“他們?cè)跊_突期間、行動(dòng)正在積極進(jìn)行的時(shí)候構(gòu)建并部署了一個(gè)全新的后門。我們還追蹤到了第三波活動(dòng)，使用了完全不同的策略：SEO 投毒。”

“他們構(gòu)建了一個(gè)虛假的 SQL Developer 下載頁(yè)面，并將其推到 Bing 和 DuckDuckGo 的頂部——沒(méi)有魚叉式網(wǎng)絡(luò)釣魚，沒(méi)有虛假工作機(jī)會(huì)，只是等待開發(fā)者搜索常用軟件。當(dāng)你將 2 月到 4 月的三波活動(dòng)放在一起看，他們沒(méi)有停頓。沖突并沒(méi)有拖慢他們的腳步，反而加速了他們的行動(dòng)。”

此次披露恰逢 Palo Alto Networks Unit 42 發(fā)布一份關(guān)于該威脅行為者使用 MiniUpdate 和更新版本 MiniJunk（稱為 MiniJunk V2）針對(duì)美國(guó)、以色列、阿聯(lián)酋和中東地區(qū)實(shí)體的報(bào)告。在這個(gè)精心設(shè)計(jì)的間諜計(jì)劃中，目標(biāo)包括一家美國(guó)石油天然氣公司。

研究結(jié)果表明，伊朗威脅行為者正在借鑒朝鮮的策略，通過(guò)提供誘人的工作機(jī)會(huì)吸引目標(biāo)組織的員工，從而滲透感興趣的組織。

Unit 42 研究人員表示：“自 2026 年 2 月開始的地區(qū)沖突以來(lái)，該組織增加了行動(dòng)，在多達(dá)五個(gè)不同國(guó)家的實(shí)體內(nèi)部署了兩個(gè)家族的 RAT 變體。”

“最近這些活動(dòng)的一個(gè)顯著特點(diǎn)是攻擊者誘餌的深度個(gè)性化。通過(guò)利用量身定制的社會(huì)工程學(xué)戰(zhàn)術(shù)，包括虛假職位招聘和偽造的視頻會(huì)議邀請(qǐng)，攻擊者引誘受害者啟動(dòng)感染鏈，從而使他們的組織暴露于進(jìn)一步的利用。”

此次發(fā)展之際，伊朗黑客被懷疑對(duì)美國(guó)多個(gè)州加油站的油罐液位變送器發(fā)動(dòng)了一系列攻擊。雖然這些事件沒(méi)有造成物理?yè)p壞或傷害，但引發(fā)了人們的擔(dān)憂：這種訪問(wèn)可能導(dǎo)致天然氣泄漏未被檢測(cè)到，或給關(guān)鍵基礎(chǔ)設(shè)施帶來(lái)其他風(fēng)險(xiǎn)。

CNN 援引未具名消息來(lái)源報(bào)道：“負(fù)責(zé)攻擊的黑客利用了在線且沒(méi)有密碼保護(hù)的自動(dòng)油罐液位 gauge（ATG）系統(tǒng)，在某些情況下允許他們修改油罐的顯示讀數(shù)，但不會(huì)修改實(shí)際燃油液位。”

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！