被称为“雨云毒蝎”的伊朗威胁行为体加大了其行动力度,利用复杂的新型恶意软件变种,针对西欧的国防制造、电信和航空领域发起攻击。
这个成熟的高级持续性威胁组织(也被追踪为UNC1549和Smoke Sandstorm)已经改进了其战术,纳入了此前未被记录的技术,用于规避检测并在受感染系统上保持持久性。
尼姆巴斯·曼提柯尔近期的行动表明其战略已转向欧洲目标,尤其是丹麦、瑞典和葡萄牙。
该威胁行为者通过冒充包括波音、空客和莱茵金属在内的合法航空航天巨头以及像迪拜航空这样的电信公司,完善了其社会工程学手段。
他们那些具有欺骗性的职业门户网站使用基于React的模板,这些模板与真实的招聘平台极为相似,还为每个目标受害者提供了预先共享的凭证。
这种攻击方法始于定制化的鱼叉式钓鱼活动,在这些活动中,所谓的人力资源招聘人员会引导受害者进入虚假的职业门户网站。
每个目标都会收到独特的URL和登录凭证,这使得威胁行为者能够追踪受害者的参与情况,并在整个感染过程中保持受控访问。
这种方法展示了复杂的操作安全措施和可信的 pretexting 能力,与国家层面的间谍手法相符。
Check Point的分析师们发现,该恶意软件通过一个复杂的多阶段感染链进行部署,而这个感染链会利用合法的Windows进程。
初始有效载荷伪装成与招聘相关的软件,例如“Survey.zip”,包含多个组件,其中包括一个合法的Setup.exe文件,该文件会启动侧载序列。
这种恶意软件利用名为SenseSampleUploader.exe的Windows Defender组件,通过DLL劫持技术执行其有效载荷。
多阶段DLL侧加载机制
这条感染链采用了一种新颖的技术,通过未公开的低级API来操纵Windows的DLL搜索顺序。
当受害者执行Setup.exe时,恶意软件会使用RtlCreateProcessParameters来修改RTL_USER_PROCESS_PARAMETERS结构中的DllPath参数。
这种操作使得恶意的xmllite.dll能从归档目录加载,而非预期的系统位置。
userenv.dll组件会检查正在执行的进程名称,以确定感染阶段。在初始设置期间,它会使用低级ntdll API调用启动位于C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe的Windows Defender二进制文件。
该恶意软件利用了这个合法可执行文件的DLL劫持漏洞,迫使它从与压缩文件相同的文件夹中加载恶意的xmllite.dll。
加载后,xmllite.dll会在%AppData%\Local\Microsoft\MigAutoPlay\创建一个工作目录,并复制后门组件以实现持久化。
该恶意软件创建了一个计划任务来执行MigAutoPlay.exe,后者随后会通过侧载包含主要后门功能的恶意userenv.dll文件。
这种技术通过利用受信任的Windows进程,有效地绕过了传统的安全控制。
这种被追踪为MiniJunk的恶意软件的演变,融入了大量编译器级别的混淆技术,使得样本几乎无法通过标准的静态分析进行逆向解析。
威胁行为者已经实施了自定义的LLVM通道,这些通道会引入垃圾代码插入、控制流混淆、不透明谓词和加密字符串等操作。每个字符串都使用独特的密钥进行单独加密,而函数调用则通过算术运算来隐藏其实际目标。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
