安全星图平台

APT35

Magic Hound是一个由伊朗赞助的威胁组织，主要在中东活跃，该组织最早的活动可追溯到2014年。Magic Hound主要针对能源、政府和技术部门的组织，这些组织都在沙特阿拉伯有业务基础，或在沙特阿拉伯有商业利益。 Magic Hound与{{Rocket Kitten，Newscaster，NewsBeef}}和{ITG18}的一些基础设施有重叠。

历史活动组织概况 IOC情报

2023-04-28
BellaCiao：Charming Kitten组织使用的新恶意软件安恒威胁情报中心

Charming Kitten组织使用了一种名为BellaCiao的新型恶意软件，已出现来自美国、欧洲、中东（土耳其）和印度的受害者。BellaCiao充当个性化的投放程序，用于将其他恶意有效负载传送到受害者的机器上。专家们尚未确定最初的感染媒介，但认为攻击者使用了Microsoft Exchange漏洞利用链（如 ProxyShell、ProxyNotShell、OWASSRF）或类似的软件漏洞。部署后，BellaCiao 会立即尝试使用 PowerShell 命令禁用 Microsoft Defender。该恶意软件通过一个新的服务实例实现持久化，专家还观察到攻击者试图从 http://188.165.174[.]199:18080 下载两个 IIS 后门。混合攻击的示例流程如下：
2023-04-27
APT35组织利用PowerLess后门攻击以色列安恒威胁情报中心

APT35组织与针对以色列的新一波网络钓鱼攻击有关，该攻击旨在部署名为PowerLess的后门的更新版本。攻击链始于一个 ISO 磁盘映像文件，该文件利用以伊拉克为主题的诱饵来释放一个自定义的内存下载程序，最终启动 PowerLess 植入程序。
2023-04-20
Mint Sandstorm子组织攻击美国关键基础设施安恒威胁情报中心

名为“Mint Sandstorm(PHOSPHORUS)”的伊朗黑客组织正在对美国的关键基础设施进行网络攻击。2021年末到2022年中，Mint Sandstorm 的一个子组从侦察转向直接攻击美国的关键基础设施，包括海港、能源公司、运输系统、公用事业和天然气组织等。该组织通常使用公开披露的PoC，也会使用旧漏洞（例如Log4Shell）来攻击未打补丁的设备。以下是两种可能的攻击链：攻击链1 ：Mint Sandstorm 小组继续使用 Impacket 在受感染的组织中横向移动，并广泛依赖 PowerShell 脚本（而不是自定义植入程序）来枚举管理员帐户并启用 RDP 连接。在此攻击链中，子组使用 SSH 隧道进行命令和控制 (C2)，最终窃取 Active Directory 数据库，使用 Active Directory 数据库访问用户帐户的凭据。
2023-03-17
Charming Kitten伪装成大西洋理事会雇员发起网络钓鱼安恒威胁情报中心

2023年2月24日，多个参与中东政治事务研究的人在推特上表示，推特账户@SaShokouhi自称是大西洋理事会的雇员与其联络。分析表明，此次活动是Charming Kitten组织发起的网络钓鱼活动，目标是记录伊朗妇女和少数群体受压情况的研究人员。攻击者创建了一个虚假的账户，然后用它来联系目标，请求采访、协助报告或讨论共同兴趣。在几天或几周的时间里与目标建立了融洽的关系，然后会发送一个恶意链接或文档来钓鱼，试图访问受害者在线电子邮件服务、社交媒体服务的凭据。
2023-02-03
COLDRIVER和TA453组织针对英国目标开展鱼叉式网络钓鱼活动安恒威胁情报中心

总部位于俄罗斯的 SEABORGIUM (Callisto Group/TA446/COLDRIVER/TAG-53) 和总部位于伊朗的 TA453 (APT42/Charming Kitten/Yellow Garuda/ITG18) 继续成功地对英国的目标组织和个人进行鱼叉式网络钓鱼攻击和其他感兴趣的领域，用于信息收集活动。2022年，攻击者目标行业包括学术界、国防、政府组织、非政府组织、智库以及政治家、记者和活动家。
2022-10-14
APT35组织使用新的恶意工具展开攻击活动安恒威胁情报中心

APT35又名Charming Kitten或Phosphorus，是来自伊朗的APT组织。近期，APT35组织在攻击活动中部署了一个名为PowerLess Backdoor的新PowerShell后门，该后门在.NET上下文中运行，而不是生成PowerShell进程。PowerLess Backdoor具有多种功能，包括下载和执行其他恶意软件和文件（键盘记录模块和浏览器信息窃取程序）、键盘记录、终止进程、窃取浏览器数据、执行任意命令等。此外，研究人员观察到Charming Kitten使用一种名为Hyperscrape的新工具从受害者邮箱中提取电子邮件。该工具允许攻击者从Yahoo、Google和Microsoft Outlook中提取电子邮件。
2022-09-14
伊朗黑客组织TA453使用“多角色模拟”新技术安恒威胁情报中心

TA453是一个伊朗威胁组织，曾攻击中东的学者和政策专家。2022年6月，TA453组织使用一种新的、精心设计的网络钓鱼技术，通过使用多个角色和电子邮件帐户，诱导目标认为这是一个真实的电子邮件对话。研究人员将这种社会工程技术称为“多角色模拟”（MPI）。攻击者向目标发送一封电子邮件，同时抄送由攻击者控制的另一个电子邮件地址，然后从该电子邮件中回复，进行虚假对话。此次活动的目标包括从事中东研究或核安全的研究人员。电子邮件活动的时间表如下：
2022-06-15
伊朗Phosphorus组织攻击以色列和美国前高级官员安恒威胁情报中心

6月14日，研究人员揭露了最近在伊朗开展的针对前以色列官员、高级军事人员、研究机构研究员、智囊团和以色列公民的鱼叉式网络钓鱼行动。攻击者使用了一个虚假的缩短网址 Litby[.]us来伪装网络钓鱼链接，并利用合法的身份验证服务validation.com来盗取身份证件。研究人员将此次网络钓鱼活动与伊朗 APT 组织Phosphorus（又名APT35、Charming Kitten）联系起来。
2022-04-27
APT35组织利用关键的VMware RCE漏洞部署后门安恒威胁情报中心

和伊朗有关的网络攻击者 APT35组织（又名Rocket Kitten）正在积极利用VMware的关键远程代码执行 (RCE) 漏洞CVE-2022-22954。攻击者利用此漏洞获得初始访问权限，最终在易受攻击的系统上部署Core Impact高级渗透测试工具。
2022-03-24
APT35组织利用 ProxyShell 漏洞获取初始访问权限猎影实验室

2021 年 12 月，研究人员观察到攻击者利用Microsoft Exchange ProxyShell 漏洞通过多个 Web Shell 获取初始访问权限并执行代码，经分析，研究人员将此活动归因于APT35组织（又名Charming Kitten、TA453、COBALT ILLUSION、ITG18、Phosphorus、Newscaster）。攻击者利用的漏洞包括：CVE-2021-34473；CVE-2021-34523；CVE-2021-31207。
查看更多