【安全资讯】伊朗网络间谍活动瞄准伊拉克政府

概要：

Check Point Research (CPR) 发现了一起针对伊拉克政府的复杂网络间谍活动，该活动具有伊朗国家支持的威胁行为者的特征。此次行动由APT34组织实施，使用了定制的工具和通信渠道，旨在长期隐蔽地获取敏感信息。

主要内容：

CPR的分析表明，这次网络间谍活动已经持续了数月，APT34组织使用了专门为伊拉克政府基础设施设计的定制工具。攻击者利用DNS隧道协议和基于电子邮件的C2渠道，成功规避了传统检测方法，保持了对目标的长期访问。

在此次攻击中，APT34部署了两种主要的恶意软件——Veaty和Spearal。Veaty通过伊拉克政府的受感染电子邮件账户进行通信，使用加密消息隐藏在邮件主题或附件中，执行命令并上传下载文件。Spearal则利用DNS隧道，通过编码在DNS查询中的数据与C2服务器通信，执行PowerShell命令并传输敏感数据。

初始感染方式可能是社会工程攻击，攻击者分发了具有误导性双重扩展名的文件，如Avamer.pdf.exe和Protocol.pdf.exe，诱骗用户执行这些文件。一旦执行，这些文件会部署Spearal或Veaty后门，给予攻击者对网络的访问权限。CPR发现这些恶意文件在2024年3月至5月间从伊拉克上传到VirusTotal。

此次行动还使用了一个名为CacheHttp.dll的定制IIS后门，该后门监听受感染IIS服务器上的HTTP请求，并基于HTTP头中的数据执行命令。通信使用AES-CBC加密，使传统监控工具难以检测。随着中东地区网络间谍活动的持续增加，政府机构和私营组织必须保持警惕，认识到现代网络攻击的目标性、隐蔽性和复杂性日益增强。