HackerNews 编译,转载请注明出处:
威胁猎手发现了一个被称为Infy的伊朗威胁行为者(又名Prince of Persia)的新活动,这距离该黑客组织被观察到针对瑞典、荷兰和土耳其的受害者已近五年。
“Prince of Persia的活动规模比我们最初预期的更为重大,”SafeBreach的安全研究副总裁托默·巴尔在与The Hacker News分享的技术分析中表示。”这个威胁组织仍然活跃、相关且危险。”
根据Palo Alto Networks Unit 42在2016年5月发布的一份报告,Infy是现存最古老的APT组织之一,其早期活动证据可追溯到2004年12月。该报告由巴尔与研究员西蒙·科南特共同撰写。
该组织也一直保持隐蔽,不像Charming Kitten、MuddyWater和OilRig等其他伊朗组织那样受到较多关注。该组织发起的攻击主要利用了两种恶意软件:一种名为Foudre的下载器和受害者剖析器,用于投递被称为Tonnerre的第二阶段植入程序,以从高价值机器中窃取数据。据评估,Foudre是通过钓鱼邮件传播的。
SafeBreach的最新发现揭露了一场针对伊朗、伊拉克、土耳其、印度、加拿大以及欧洲受害者的隐蔽活动,活动中使用了更新版本的Foudre和Tonnerre。Tonnerre的最新版本于2025年9月被检测到。
攻击链也发生了变化,从使用包含宏的Microsoft Excel文件,转向在此类文档中嵌入可执行文件来安装Foudre。或许该威胁行为者最引人注目的手法是使用域名生成算法,以使其命令与控制基础设施更具韧性。
此外,已知Foudre和Tonnerre的组件会通过下载一个RSA签名文件来验证C2域名是否真实,恶意软件随后使用公钥解密该文件,并与本地存储的验证文件进行比较。
SafeBreach对C2基础设施的分析还发现了一个用于C2验证的名为”key”的目录,以及其他用于存储通信日志和窃取文件的文件夹。
“每天,Foudre都会下载一个由威胁行为者用RSA私钥加密的专用签名文件,然后使用内嵌公钥进行RSA验证,以确认该域名是经批准的域名,”巴尔说道。”请求格式为:’https://<域名>/key/<域名><yy><年份中的第几天>.sig’。”
C2服务器中还存在一个”download”目录,其当前用途未知,推测可能用于下载并升级到新版本。
另一方面,Tonnerre的最新版本包含一个通过C2服务器联系Telegram群组的机制。该群组有两名成员:一个很可能用于发出命令和收集数据的Telegram机器人”@ttestro1bot”,以及一个用户名为”@ehsan8999100″的用户。
虽然使用即时通讯应用进行C2通信并不罕见,但值得注意的是,关于Telegram群组的信息存储在C2服务器中名为”t”的目录内一个名为”tga.adr”的文件中。需要指出的是,”tga.adr”文件的下载只能为特定的受害者GUID列表触发。
这家网络安全公司还发现了2017年至2020年间在Foudre活动中使用的其他较旧变种:
-
伪装成Amaq新闻查找器以下载和执行恶意软件的Foudre版本
-
一种名为MaxPinner的木马新版本,由Foudre第24版DLL下载,用于窥探Telegram内容
-
一种名为Deep Freeze的恶意软件变体,类似于Amaq新闻查找器,用于感染受害者并投递Foudre
-
一种名为Rugissement的未知恶意软件
“尽管看似在2022年销声匿迹,但Prince of Persia威胁行为者却恰恰相反,”SafeBreach表示。”我们针对这个多产且隐蔽的组织的持续研究活动,突显了关于他们过去三年活动、C2服务器以及已识别恶意软件变种的关键细节。”
此次披露正值DomainTools对Charming Kitten泄露信息的持续分析描绘出该黑客组织的形象:其运作更像是一个政府部门,同时以”文书般的精准度开展间谍行动”。该威胁行为者还被揭露是Moses Staff身份的幕后操纵者。
“运行德黑兰长期凭证钓鱼行动的同一台行政机器APT 35,也负责运行支持Moses Staff勒索软件活动的后勤工作,”该公司表示。
“所谓的黑客活动分子和政府网络部门不仅共享工具和目标,还使用同一个应付账款系统。宣传部门和间谍部门是单一工作流程的两个产物:同一内部工单制度下的不同’项目’。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文