MURKYTOUR 後門

2024 年 10 月，與伊朗結盟的威脅行為者 UNC2428 發起了針對以色列個人的網路間諜活動。該組織偽裝成以色列國防承包商拉斐爾的招募人員，利用以工作為主題的社會工程計畫來引誘受害者。一旦人們表現出興趣，他們就會被重定向到一個模仿拉斐爾的詐騙網站，在那裡他們被提示下載一個名為「RafaelConnect.exe」的應用程式工具。

從興趣到入侵：惡意軟體傳播鏈

下載的工具其實是一個名為 LONEFLEET 的安裝程式。它具有圖形使用者介面（GUI），設計看起來像一個合法的求職門戶，要求提供個人資訊和上傳履歷。這個看似無害的介面卻隱藏著有害的意圖。提交資料後，一個名為 MURKYTOUR 的後門會透過名為 LEAFPILE 的啟動器在背景靜默部署，使攻擊者能夠持續存取受感染的系統。這種方法凸顯了威脅行為者策略性地使用 GUI 將惡意軟體執行偽裝成良性活動。

不只一位參與者：不斷擴大的伊朗網路威脅格局

UNC2428 只是伊朗網路行動難題中的一個碎片。這項活動與 Black Shadow 組織的活動具有一些共同特徵，Black Shadow 組織受到以色列國家網路局的指控，並被認為在伊朗情報和安全部 (MOIS) 的領導下運作。他們的目標涉及以色列的多個領域，包括：

• 政府和國防
• 醫療保健和金融
• 科技和通訊

另一個與MuddyWater組織有關聯的參與者 UNC3313 自 2022 年以來一直在進行魚叉式網路釣魚活動，並以使用合法的遠端監控工具來保持隱身和持續存取而聞名。同時，UNC1549 已轉向基於雲端的基礎設施，以便更好地融入企業環境並避免被發現。

操控大師：APT42 及以後

APT42 ，又名Charming Kitten，以其複雜的社會工程技術而聞名。該組織部署了虛假登入頁面，冒充 Google、Microsoft 和 Yahoo 等主要平台！以取得憑證。他們利用 Google Sites 和 Dropbox 等平台將受害者引導至這些惡意頁面，從而加強他們的欺騙行為。

此外， APT34 （OilRig）也利用DODGYLAFFA和SPAREPRIZE等客製化後門攻擊伊拉克政府體系。總體而言，網路安全專家已發現伊朗行為者在 2024 年中東各種網路行動中開發或使用的 20 多個獨特的惡意軟體家族。

結論：持續不斷且不斷演變的威脅

伊朗網路攻擊者的戰術有了顯著的進步，將心理操縱與技術複雜性結合。透過 GUI、合法工具和雲端服務，他們正在改進維持存取權限和逃避偵測的方法，這表明區域和全球網路安全工作將面臨持續的挑戰。