中東局勢日益緊張,伊朗駭客的網路間諜活動也不時傳出,這樣的情況引起以色列當局關注,並提出警告。
以色列國家數位安全局(Israel National Digital Agency,INDA)本週提出警告,被稱為APT42、Mint Sandstorm,以及CharmingCypress的伊朗駭客組織,從事網路間諜活動SpearSpecter,他們鎖定具有高價值的國防與政府官員,假借邀請參加重要會議為由,透過假的會議網頁竊取帳密資料,為了進一步從事長期間諜活動,他們散布PowerShell後門TameCat,藉此對受害電腦進行遠端控制與收集資料。值得留意的是,他們也將目標人士的家族成員納入攻擊範圍,藉此對官員施壓。
INDA指出,這些駭客並未使用大規模網釣的策略,而是花費數天至數週的時間與目標人士建立關係,為了讓受害者降低戒心,他們也會透過即時通訊軟體WhatsApp進行更為直接的互動。不僅如此,APT42會根據攻擊目標的價值與活動目的,來調整攻擊的策略。
針對SpearSpecter的攻擊流程,通常APT42會藉由社群媒體與公開的資料,對目標人士進行廣泛的偵察,進而設計特定情境取信受害者,並冒充關係人士來互動,以建立信任關係。這些駭客多半會舉辦專屬會議來進行,甚至有採取實體會議的情況,此外,他們還會運用WhatsApp增加信任。
為了進一步掌握受害者的電腦,攻擊者會假借會議或是會議文件的名義,向受害者發送連結。一旦受害人點選,他們就會被導向OneDrive代管的誘餌檔案,不過,在檔案載入的過程裡,電腦會在背景被多次重新導向。
其中一種是濫用Windows的URI協定,此時瀏覽器會出現彈出式視窗,要求使用者開啟檔案總管,若是照做,電腦就會連線到攻擊者的WebDAV伺服器,並顯示偽裝成PDF文件的LNK檔案。一旦使用者試圖開啟,電腦就會使用curl執行Shell命令,從Cloudflare Workers截取批次檔並執行,此批次檔就是TameCat主程式及載入工具,內含經混淆處理的PowerShell程式碼,用途是擷取其他有效酬載並於記憶體內執行。
有別於過往APT42使用的惡意程式,新的TameCat在HTTPS連線以外,增加兩種C2通訊機制,分別是透過Telegram與Discord來進行。再者,攻擊者採取謹慎及隱密的手法,進行偵察與收集資料工作,TameCat還會刻意挑選有價值的資料,並排程透過加密通訊傳送到外部。
令人意外的是,APT42外洩資料的過程,還會濫用Edge的遠端除錯機制,繞過瀏覽器對使用者資料的保護與管制措施。後門程式會以隱藏模式執行Edge,並關閉沙箱功能,以免存取受限,然後開放9222埠來進行「遠端除錯」。
針對Chrome透過SQLite資料庫存放個人設定資料,TameCat濫用Sysinternals工具包的公用程式PsSuspend,暫停Chrome處理程序,使得相關檔案暫時解除鎖定,而能讀取個人設定資料的內容。
熱門新聞
2025-12-22
2025-12-23
2025-12-19
2025-12-22
2025-12-23
2025-12-19