#事件背景
資安業者 Mandiant 揭露了伊朗駭客組織 UNC1860,並指出該組織疑似隸屬於伊朗情報與國家安全部(MOIS)。UNC1860 專門針對中東地區的企業和政府機構發動網路攻擊,其行為模式與其他伊朗駭客組織相似,顯示出伊朗政府在背後強力支持,UNC1860 的一個關鍵特徵是,收集了專門的工具和被動後門,並支援多個目標包括其作為可能的初始存取提供者的角色以及獲得,高優先級網路的持久存取能力,例如在整個中東的政府和電信領域。
#攻擊手法
Mandiant 將 UNC1860 描述為「強大的威脅行為體」,它維護一系列被動後門,旨在進入受害者網路並在不引起注意的情況下建立長期訪問權限,這些工具包括兩個 GUI 操作的惡意軟體控制器,分別為 TEMPLEPLAY 和 VIROGREEN,據說它們可以為其他與 MOIS 相關的威脅行為者提供使用遠端桌面協定 (RDP) 遠端存取受害者環境的功能,具體來說,這些控制器旨在為第三方運營商提供一個介面,該介面提供有關如何部署自訂有效負載以及如何在目標網路內執行內部掃描等利用後活動的說明,Mandiant 表示發現了 UNC1860 和 APT34(又名 Hazel Sandstorm、Helix Kitten 和 OilRig)之間的重疊,因為在 2019 年和 2020 年受到後者危害的組織之前曾被 UNC1860 滲透過,反之亦然這兩個集群都被觀察到以伊拉克為基地的目標。
攻擊鏈利用透過機會性易受攻擊的面向,以互聯網的伺服器獲得的初始存取權來投放Web shell 和STAYSHANTE 和SASHEYAWAY 等植入程序,後者導致嵌入的植入程序(例如TEMPLEDOOR、FACEFACE 和SPARKLOAD)並執行在其中,該框架提供了包括控制利用後有效負載、後門(包括 STAYSHANTE Web shell 和 BASEWALK 後門)和任務,控制相容代理,無論代理如何植入以及執行命令和上傳/下載檔案,本身充當 TEMPLEDOOR 的基於 .NET 的控制器,支援透過 cmd.exe 執行命令的後門指令、從受感染主機上傳/下載檔案以及到目標伺服器的代理連線。
#須注意工具清單
OATBOAT : 載入並執行 shellcode 有效負載的載入器
TOFUDRV : 和 WINTAPIX 重疊的惡意 Windows 驅動程式
TOFULOAD : 為一種被動植入,採用未記錄的輸入/輸出控制 (IOCTL) 命令進行通訊
TEMPLEDROP : 伊朗防毒軟體 Windows 檔案系統過濾器驅動程式的重新設計版本,名為 Sheed AV,用於保護部署的檔案免於修改
TEMPLELOCK : 為 .NET 防禦規避實用程序,能夠終止 Windows 事件日誌服務
TUNNELBOI : 能夠與遠端主機建立連線並管理 RDP 連線的網路控制器
#攻擊目標與影響
由於中東地區政治局勢複雜,各國之間存在競爭,網路攻擊成為一種新型態的戰場,加上擁有豐富的石油資源相較於西方國家的網路安全防禦能力相對較弱,固是許多國家爭奪的目標。
主要針對電信業者、政府機關等關鍵基礎設施,透過入侵,駭客可以竊取敏感的商業機密、政府機密等,攻擊者可能破壞目標系統,導致服務中斷或資料損失透過入侵,可以收集目標組織的情報,為進一步的攻擊行動做準備。
#結論
UNC1860對中東地區的網路攻擊,再次敲響了網路安全的警鐘。這起事件不僅造成巨大的經濟損失,更可能危及國家安全。面對日益嚴峻的網路威脅,我們必須採取更全面的防禦措施。政府應加強網路安全立法,企業應加大對網路安全的投資,個人也應提高網路安全意識。唯有如此,我們才能共同打造一個安全的網路世界。
參考資料:
https://thehackernews.com/2024/09/iranian-apt-unc1860-linked-to-mois.html
https://gemini.google.com/app/f9f504eea8e82f5f