【安全资讯】WezRat:伊朗网络组织Emennet Pasargad武器化的模块化信息窃取工具

安恒恒脑 2024-11-18 19:04:20 111人浏览

概要:

在Check Point Research发布的一项全面分析中,WezRat被确认为伊朗网络组织Emennet Pasargad的复杂工具,该组织与伊朗伊斯兰革命卫队(IRGC)有关联。该恶意软件在美国、欧洲和以色列的网络活动中被积极部署,最近一次针对以色列组织的行动通过假冒以色列国家网络局(INCD)的网络钓鱼活动进行。

主要内容:

2024年10月21日,多个伪装成官方INCD警报的钓鱼邮件向收件人施压,要求他们更新Google Chrome浏览器。这些邮件来自伪造域名alert@il-cert[.]net,模仿合法的INCD网站。受害者被诱骗下载一个名为Google Chrome Installer.msi的恶意文件,该文件不仅包含合法的Chrome安装程序,还执行了WezRat的有效载荷。根据CPR的分析,下载的MSI文件包含合法的Chrome安装程序和相关文件,但同时也植入了一个名为Updater.exe的后门并执行。

WezRat是一个模块化的信息窃取工具,具有广泛的功能,包括远程命令执行、屏幕截图、键盘记录、剪贴板和Cookie窃取,以及文件上传和下载。该恶意软件的后端基础设施显示出显著的技术投资,其C2服务器使用混淆的通信协议,并动态调整功能以避免检测。早期版本的WezRat依赖硬编码的C2地址,而更新版本则采用更先进的技术,包括混淆的DLL和加密字符串处理。

FBI、美国财政部和INCD已将WezRat归因于Emennet Pasargad,该组织以其网络和虚假信息活动而闻名。该组织在不同别名下进行操作,包括Anzu Team和For-Humanity,并且有将政治信息与网络攻击相结合的历史。
APT 钓鱼攻击 金融 科技公司
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。