MURKYTOUR 后门

2024年10月，一个与伊朗勾结的威胁行为体UNC2428发起了针对以色列个人的网络间谍活动。该组织伪装成以色列国防承包商拉斐尔的招聘人员，利用以求职为主题的社会工程手段引诱受害者。一旦用户表现出兴趣，他们就会被重定向到一个模仿拉斐尔的欺诈网站，并被提示下载一个名为“RafaelConnect.exe”的应用工具。

从兴趣到入侵：恶意软件传播链

下载的工具实际上是一个名为 LONEFLEET 的安装程序。它有一个图形用户界面 (GUI)，设计得像一个合法的求职门户网站，要求输入个人信息并上传简历。这个看似无害的界面隐藏着恶意意图。提交数据后，一个名为 MURKYTOUR 的后门会通过名为 LEAFPILE 的启动器在后台悄悄部署，使攻击者能够持续访问受感染的系统。这种方法凸显了威胁行为者巧妙地利用 GUI 将恶意软件的执行伪装成正常活动。

不止一个参与者：不断扩大的伊朗网络威胁格局

UNC2428 只是伊朗网络行动谜团中的一个小例子。该行动与“黑影”组织（Black Shadow）的活动有着一些共同特征。“黑影”组织被以色列国家网络局指控，据信隶属于伊朗情报安全部（MOIS）。其目标涵盖以色列的多个领域，包括：

• 政府和国防
• 医疗保健和金融
• 技术和通信

另一个与MuddyWater组织有关联的攻击者 UNC3313 自 2022 年以来一直在进行鱼叉式网络钓鱼活动，并以使用合法的远程监控工具来保持隐蔽性和持续访问而闻名。与此同时，UNC1549 已转向基于云的基础设施，以便更好地融入企业环境并避免被发现。

操纵大师：APT42 及之后

APT42 ，又名“迷人小猫”（Charming Kitten），以其复杂的社会工程技术而闻名。该组织部署了假冒谷歌、微软和雅虎等主流平台的登录页面来窃取用户凭证。他们利用谷歌协作平台和Dropbox等平台将受害者引导至这些恶意页面，从而增强其欺骗性。

此外， APT34 （OilRig）在攻击伊拉克政府系统时使用了DODGYLAFFA和SPAREPRIZE等定制后门。总体而言，网络安全专家已发现伊朗攻击者在2024年各种中东网络行动中开发或使用的20多个独特的恶意软件家族。

结论：持续不断且不断演变的威胁

伊朗网络攻击者的攻击手段显著演变，将心理操控与技术手段巧妙结合。他们利用图形用户界面 (GUI)、合法工具和云服务，不断改进维护访问权限和规避检测的方法，这预示着区域乃至全球网络安全工作将面临持续挑战。