微软提醒注意这6个不断演变的伊朗黑客组织

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

自2020年9月起，微软一直在追踪六个伊朗黑客组织，它们部署勒索软件并提取数据，为受害者造成破坏和损失。随着时间的流逝，这六个黑客组织已经能够从事网络间谍活动，使用多平台恶意软件，利用擦除器和勒索软件破坏操作，执行钓鱼和密码喷射攻击，甚至执行复杂的供应链攻击活动。

所有这些组织都部署勒索软件实现其目的，并分批次部署，通常相互之间间隔六到八周的时间。本周，微软观察到这些威胁组织在扫描很多漏洞，包括针对 Fortinet FortiOS SSL VPN以及易受 ProxyShell 漏洞攻击的微软 Exchange 服务器等。预测发现仅通过扫描未修复的 Fortinet VPN 系统，这些威胁组织就在今年获取了超过900个明文凭据。

过去一年出现的另外一个趋势是，攻击者在发动社工攻击的耐心和持久性方面升级，显示出复杂威胁组织的端倪。

此前，像 Phosphorus (Charming Kitten) 这样的威胁组织发送的是含有恶意链接和附件的恶意邮件，它的成功率有限，但如今该组织开始走耗时的“面试邀请”路径，而这是朝鲜 Lazarus 黑客组织熟稔由于心的技术。在执行攻击期间，Phosphorus 组织会在面试流程期间诱骗目标点击凭据获取页面。

同样遵循这一攻击方法的还有 “Curium” 组织，微软分析师表示该组织利用的是虚假社交帐户的庞大网络，它常常伪装成引人注意的漂亮女性。黑客联系目标并与之日常聊天获得他们的信任。之后他们在某一天发送看似无害文件的恶意文档，趁机释放隐秘的恶意软件。Hamas 黑客组织也在使用类似攻击技术，它曾创建虚假的约会应用诱骗以色列国防军 (IDF) 安装恶意的手机应用。目前尚不清楚这两起攻击活动之间是否存在关联。

尽管有些威胁组织会利用各种攻击手段，但有些选择通过“暴力”攻击，以激进的方式获得对 Office 365 账户的访问权限。

DEV-0343 就是这样一个威胁组织。上个月，该组织攻击美国国防技术公司并运行大规模的密码喷射攻击。微软报告称 DEV-0343 要比上述威胁组织的行动都要快，通常会在同一天获得对目标账户的访问权限。

同时，研究人员还发现 DEV-0343和 “Europium” 组织有时会同时攻击某些账户，分明是两个组织之间的协调行动。

近10年前，微软就一直在追踪伊朗黑客组织的行踪，并且几次成功使这些黑客组织的基础设施下线。尽管如此，Phosphorus 组织设法获得了重大成功，比如去年10月份黑掉高层官员的案例。

微软最近发现的情况是，Phosphorus 组织不仅活得非常好，而且受多种协作组织支持经常改头换面。