MiniFast Backdoor
一個名為「Nimbus Manticore」(又稱 Screening Serpens 和 UNC1549)的伊朗國家支持的威脅組織,與伊朗伊斯蘭革命衛隊有關聯,在2026年2月美國和以色列聯合打擊伊朗之後,加大了對美國、歐洲和中東地區組織的網路攻擊力度。該組織利用日益複雜的入侵技術和惡意軟體傳播方式,攻擊航空和軟體產業的公司。
安全研究人員發現,最新攻擊活動與以往活動相比,在操作層面發生了多項變化。這些變更包括引入名為 MiniFast 的新型後門、擴大了 AppDomain 劫持的使用範圍,以及策略性地轉向搜尋引擎優化 (SEO) 攻擊,透過假軟體下載入口網站感染受害者。分析人員還發現一些跡象表明,人工智慧輔助開發可能加速了惡意軟體的創建。
目錄
從虛假招聘資訊到搜尋引擎操縱
Nimbus Manticore 歷來專注於國防、航空和電信領域的目標,透過以職業為主題的網路釣魚活動進行攻擊,這些活動通常被稱為「伊朗夢想職業」行動。其策略與「夢想職業行動」(Operation Dream Job)極為相似,後者是一項與北韓威脅行為者相關的長期社會工程攻擊活動。
2026 年 2 月至 4 月期間,該組織連續進行了三波不同的戰役,展現了在區域衝突中積極的作戰節奏。
2026年2月,沙烏地阿拉伯和澳洲的航空及軟體公司員工收到了包含ZIP壓縮檔案的詐欺性招聘訊息,這些壓縮檔案託管在OnlyOffice網站上。開啟壓縮檔案中看似無害的可執行檔會觸發AppDomain劫持,最終部署MiniJunk惡意軟體DLL。
2026年3月,攻擊者採用了類似的感染鏈,但這次在感染過程中加入了植入木馬的Zoom安裝程式。該惡意軟體很可能是透過偽造的會議邀請傳播的,並最終安裝了新發現的MiniFast後門。
2026年4月,Nimbus Manticore公司採取了截然不同的策略,即利用搜尋引擎優化(SEO)技術進行攻擊。經營者創建了一個偽造的下載頁面,冒充Oracle SQL Developer,並透過註冊大量輔助網域來操縱Bing和DuckDuckGo等搜尋引擎的排名,從而提升網站的曝光度。
這是該組織首次放棄傳統的魚叉式網路釣魚,轉而採用搜尋引擎驅動的惡意軟體傳播方式。攻擊者不再直接透過電子郵件誘餌鎖定目標,而是等待開發人員和IT人員在網路上搜尋常用軟體,然後再投放感染病毒的安裝程式。
MiniFast 後門揭示了不斷擴展的技術能力
MiniFast,又稱MiniUpdate,代表了Nimbus Manticore惡意軟體庫的重大進展。研究人員將該惡意軟體描述為一個功能齊全的後門程序,旨在實現持久存取、遠端命令執行和長期間諜活動。
在進入命令循環之前,該惡意軟體會透過 HTTP 協定向其命令與控制基礎架構傳輸基本系統資訊。然後,它會不斷檢索指令、上傳執行結果、竊取檔案並下載其他有效載荷。
此後門支援多種功能,包括:
- 檔案操作和目錄枚舉
- 透過進程ID列出進程並強制終止進程
- 透過 cmd.exe 執行遠端命令
- DLL載入和ZIP歸檔創建
- 透過計劃任務實現持久性
- 使用“runas”指令進行權限提升
- 可調節的信標間隔和可配置的抖動,以實現通訊的隨機化。
研究人員也觀察到一些跡象,顯示人工智慧輔助編碼工具可能參與了該惡意軟體的開發。證據包括異常冗長的錯誤處理、過多的防禦性程式邏輯、重複的命名約定、高度詳細的調試式狀態信息,以及對於這種規模和復雜程度的惡意軟體而言並不常見的模組化程式碼結構。
衝突加劇了更快、更廣泛的網路行動
網路安全專家認為,這些行動表明「雨神曼提科爾」的行動模式發生了顯著變化。該組織非但沒有在激烈的地緣政治衝突中放慢腳步,反而加快了行動速度,並提高了行動的複雜性。
在行動進行中迅速部署新開發的後門程序,顯示惡意軟體的開發週期正在加速,這可能得益於人工智慧工具的支援。同時,從定向網路釣魚到搜尋引擎優化(SEO)投毒的轉變,反映出攻擊者的野心遠不止於在中東地區進行傳統的間諜活動。
Nimbus Manticore 透過結合網路釣魚、AppDomain 劫持、人工智慧輔助惡意軟體開發和搜尋引擎操縱等手段,在多輪攻擊活動中展現出高度適應性的威脅模型,能夠在政治不穩定時期迅速演變。
