伊朗联系的UNC3313 APT采用了两家定制的后门,反对中东Gov实体

最后更新 :2022.02.28

伊朗联系作为UNC3313的伊朗联系的威胁演员,使用两个定制的后门对未命名的中东政府实体观察。

UNC3313是一个伊朗联系的威胁演员,与中等信心相关联Muddywater Nation-State演员(又名静态小猫,种子,Temp.zagros或Mercury)由网络安全坚定的巨大巨大。

观察到UNC3313部署了两个新的定制后门,被追踪为克拉姆(Gramdoor和Starwhale),作为对中东未命名的政府实体的一部分,是11月2021年的攻击。

APT集团获得了组织的访问权限通过矛网络钓鱼攻击,它还利用公开可用的工具来维持对目标环境的远程访问。

11月2021年11月,  Mandiant托管防守 检测到An  UNC3313 在中东政府客户入侵。在调查期间,Mandiant确定了新焦油Geted Malware, gramdoor和 starwhale,它实施简单的后门功能。读取Mandiant发布的分析。UNC3313首先通过目标网络钓鱼电子邮件获得对该组织的访问,并利用修改的开源进攻安全工具,以识别可访问的系统并横向移动。观察UNC 3313通过使用筛选来观察UNC 3313建立远程访问,该屏幕连接允许该组在初始妥协的一小时内渗透系统。Mandiant指出,它能够快速包含并修复入侵。

伪装为作业促销的网络钓鱼邮件试图使受害者点击指向云存储上托管的RAR存档文件的URL。服务OneHub。存档包含了一个用于安装ScreenConnect远程访问软件的Windows Installer .msi文件,以在连续阶段建立立足度

,威胁演员升级权限,进行内部侦察,并尝试通过运行混淆的powershell命令下载其他工具和有效载荷。

starwhale backdoor是一个Windows脚本文件(.wsf),它执行来自a的命令的命令硬编码命令和控制(C2)服务器。StarWheLe通过HTTP与C2服务器通信。

专家发现的第二个植入物是嘉豪,来自其使用电报BOT API进行通信的能力。

后门在该组的控制下发送和接收来自电报聊天室的消息。

克拉姆卧式作为NSIS安装程序部署并通过设置Windows运行注册表项来实现持久性。[123

分析包括该攻击的妥协指标。

- END -

看更多