已发现,由与伊朗结盟的运营商精心策划的复杂鱼叉式网络钓鱼活动通过受损的阿曼外交部邮箱针对世界各地的外交使团。
这次袭击于 2025 年 8 月被发现,代表了与伊朗情报和安全部 (MOIS) 有联系的国土正义组织相关策略的延续。
该活动利用社会工程技术分发伪装成紧急外交通信的恶意 Microsoft Word 文档。
攻击者从受感染的 @fm.gov.om 地址发送电子邮件,通过约旦的 NordVPN 出口节点 (212.32.83.11) 路由流量,以掩盖其真实来源。
来自多个地区大使馆、领事馆和国际组织的 270 个电子邮件地址的收件人收到了主题涉及“两以战争后该地区的未来和阿拉伯国家在中东的作用”的文件。
伊朗-Nexus 鱼叉式网络钓鱼活动攻击路径(来源 – Dreamgroup)
Dreamgroup 分析师发现,该活动的范围远远超出了最初的评估范围,利用了 104 个独特的受损地址来掩盖该行动的真实范围。
嵌入在附加 Word 文档中的恶意软件采用复杂的编码技术,通过 VBA 宏代码执行将数字序列转换为 ASCII 字符。
攻击机制
当检查其执行机制时,攻击的技术复杂性变得显而易见。
恶意文档包含隐藏在“此文档”和“UserForm1”模块中的 VBA 宏,实现了多阶段有效负载传递系统。
Campaign VBA 宏执行链(来源 – Dreamgroup)
主要解码器函数指定为“dddd”,通过读取三位数段并使用公式将其转换为 ASCII 字符来系统地处理编码字符串。Chr (Val (Mid (str, counter, 3)))
一种特别值得注意的规避技术涉及“laylay”函数,它通过四个嵌套循环创建人为延迟,每个循环执行 105 次迭代。
这种反分析例程极大地阻碍了动态分析工具和自动沙箱检测系统。
恶意软件将其有效负载写入 ,在通过带有 vbHide 参数的 Shell 命令执行之前,将可执行文件伪装成无害的日志文件。C:\Users\Public\Documents\ManagerProc[.]log
成功部署后,sysProcUpdate 可执行文件通过将自身复制到 Windows 注册表 DNS 参数并修改 Windows 注册表 DNS 参数来建立持久性。C:\ProgramData\sysProcUpdate[.]exe
该恶意软件收集系统元数据,包括用户名、计算机名称和管理权限,并通过加密的 HTTPS POST 请求将此信息传输到 screenai.online/Home/ 的命令和控制服务器。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
