一个与伊朗有关联的精密间谍组织“狡猾蜗牛”通过精心策划的以招聘为主题的社会工程学攻击活动,已成为对欧洲电信、航空航天和国防组织的重大威胁。
该组织也被称为UNC1549,与更广泛的“不屈黄蜂”网络有关联。自2022年6月以来,他们通过伪装成合法公司的人力资源代表与毫无防备的员工接触,成功入侵了11个组织的34台不同设备。
攻击者通过精心打造的领英个人资料开展活动,将自己伪装成知名行业机构的招聘经理和人力资源人员。
他们的方法包括广泛的侦察,以识别组织内的高价值目标,尤其侧重于那些拥有关键系统特权访问权限的研究人员、开发人员和IT管理员。
威胁行为者会制作具有说服力的虚假工作广告,并按照telespazio-careers.com和safrangroup-careers.com等模式建立域名,以此冒充合法公司,提高其招聘骗局的可信度。
Catalyst分析师指出,Subtle Snail部署了MINIBIKE后门的自定义变体,该变体通过Azure云服务代理的命令与控制基础设施进行通信,以躲避检测。
在最初发现时,由于采用了复杂的混淆技术,并且滥用了荷兰公司Insight Digital B.V.的代码签名证书,这些恶意样本在大多数 antivirus 厂商中的检测率极低,使得这种恶意软件看起来像可信软件。
该组织的运作方法不仅限于简单的恶意软件部署,还包括针对特定受害者的恶意软件开发,以及全面的数据窃取能力,这些能力使其能够系统性地收集专有技术、客户数据库和关键网络配置。
他们持续的行动表明,国家支持的威胁行为体在针对关键基础设施时,其复杂程度正不断提升,尤其侧重于电信实体,同时仍对航空航天和国防领域保持兴趣,以实现战略间谍目的。
作为主要攻击向量的DLL劫持
“微妙蜗牛”感染机制的核心在很大程度上依赖于DLL侧载技术,该技术利用Windows的动态链接库搜索顺序来实现代码执行,同时避开安全控制的检测。
当受害者执行看似合法的setup.exe文件(该文件包含在名为Application.zip、TimeTable.zip或TimeScheduler.zip的ZIP压缩包中)时,威胁 actors 会利用与合法可执行文件一同放置的恶意MINIBIKE DLL文件,巧妙地实施DLL侧载攻击。
这种恶意软件利用Windows的DLL搜索顺序机制,在合法应用程序旁加载恶意库,从而有效绕过对可信进程的安全控制。
该团伙系统性地将其恶意DLL文件命名为常见的系统库名称,如iumbase.dll、dwrite.dll或umpdc.dll,以伪装成合法的Windows组件。
每个DLL都是为特定受害者和操作专门制作的,合法的动态链接库(DLL)文件会被修改,以促进侧载攻击的无缝执行。
技术实现包括用直接字符串变量替换导出部分中的函数名,这使得攻击者能够通过操纵DLL的导出表来绕过典型的检测机制,同时保持合法文件的外观。
所有恶意DLL均使用Microsoft Visual C/C++为64位机器架构开发,其WinAPI函数在通过自定义字符串解密技术解密相应的模块名和进程名后,在运行时动态解析。
MINIBIKE后门程序会收集独特的系统标识符,并以{UNIQUE_ID}###{DEVICE_NAME}###{NETWORK_INTERFACE_IPs}的格式将其传输至C2服务器,从而启动攻击链。
成功连接后,威胁攻击者开始部署特定于受害者的DLL,用于各种目的,包括键盘记录、凭据窃取和域名检查。每个DLL都通过相同的DLL侧载技术执行,以在整个攻击过程中保持操作的隐蔽性和持久性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
