伊朗駭客Dust Specter冒充伊拉克外交部，對該國政府官員散布惡意軟體

中東局勢緊張，伊朗駭客的攻擊行動頻傳，最近有一起是針對伊拉克政府官員的活動，駭客冒充伊拉克的外交部發動社交工程攻擊，誘騙受害者下載並執行惡意軟體。

資安公司Zscaler威脅研究團隊ThreatLabz本週發布報告，提到1月他們發現疑似來自伊朗的駭客組織Dust Specter，鎖定伊拉克政府官員發動網路攻擊。駭客透過冒充政府機構名義散布惡意檔案，誘騙目標下載並執行惡意程式，藉此在受害系統建立後門並持續收集敏感資訊。根據攻擊目標、行動模式，以及惡意程式的特徵研判，攻擊者可能來自伊朗。此次攻擊主要鎖定伊拉克政府官員，駭客甚至冒充伊拉克外交部的名義散布惡意文件，提高社交工程成功率。

在此次攻擊行動中，Zscaler一共發現4款新的惡意程式，包括SplitDrop、TwinTask、TwinTalk，以及GhostForm。這些工具被用於建立後門、接收指令並執行惡意操作，使駭客能夠長期控制受害裝置。

Dust Specter的攻擊手段大致可分成兩種。其中一條攻擊鏈是透過受密碼保護的RAR壓縮檔散布惡意程式，駭客將惡意程式偽裝為伊拉克外交部相關文件。一旦受害者解壓縮並開啟檔案，內含的.NET程式SplitDrop便會啟動，並釋出TwinTask與TwinTalk兩個模組TwinTask負責執行PowerShell指令，並處理各種攻擊任務，TwinTalk用於C2通訊，接收駭客下達的指令。

另一條攻擊鏈則使用RAT木馬GhostForm，這支精密的惡意程式，將前述3種工具的功能整合到單一執行檔，能在記憶體執行PowerShell指令，降低被資安防護機制偵測的機率。此外，GhostForm還利用隱藏的Windows表單與延遲計時器等技巧，延後惡意程式實際執行時間，以提高躲避偵測的能力。

研究人員也在程式碼發現一些異常特徵，例如特殊字元與結構模式，顯示攻擊者曾利用生成式AI工具協助撰寫或修改，代表他們可能開始利用AI加速惡意程式開發流程。

此外，攻擊活動的C2伺服器也採用多種隱匿手法，例如隨機URI路徑、地理位置限制（geofencing），以及使用者代理字串（User Agent）驗證等機制，確保只有真正受感染的裝置才能與C2伺服器通訊，藉此降低被安全研究人員或防護系統偵測的機率。

由於此次攻擊主要鎖定政府官員與外交相關單位，顯示駭客的主要目的可能是蒐集敏感資訊並從事長期網路間諜活動。整體而言，Dust Specter的攻擊顯示國家級駭客組織持續強化其工具與手法，甚至可能開始利用生成式AI協助開發惡意程式，使政府與關鍵機構面臨新的資安威脅。