Dust Specter 利用全新恶意软件针对伊拉克官员发动攻击

HackerNews 编译，转载请注明出处：

一个疑似与伊朗相关的威胁组织，通过冒充伊拉克外交部，针对伊拉克政府官员发动攻击并投放多款全新恶意软件。

Zscaler ThreatLabz 于 2026 年 1 月监测到该活动，并将其命名为 Dust Specter 进行追踪。攻击通过两条不同的感染链展开，最终投放 SPLITDROP、TWINTASK、TWINTALK 和 GHOSTFORM 恶意软件。

安全研究员 Sudeep Singh 表示：“Dust Specter 使用随机生成的 URI 路径与 C2 服务器通信，并在路径后附加校验值，确保请求来自真实受感染系统。C2 服务器还使用了地理围栏与 User‑Agent 校验。”

此次攻击的一个显著特点是：攻击者攻陷伊拉克政府相关基础设施，用于投放恶意载荷，同时还使用规避技术延迟执行，以躲避检测。

第一条攻击链以加密 RAR 压缩包开始，其中包含名为 SPLITDROP 的 .NET 加载器，它负责加载工作模块 TWINTASK 与 C2 协调模块 TWINTALK。

TWINTASK 是恶意 DLL（libvlc.dll），通过合法 vlc.exe 进行 DLL 侧加载。它每 15 秒轮询 C:\ProgramData\PolGuid\in.txt 获取新指令，并通过 PowerShell 执行，还包含通过修改注册表实现持久化的指令。脚本输出与错误信息记录在 out.txt 中。

TWINTASK 首次运行时会执行压缩包内合法程序 WingetUI.exe，使其侧加载 TWINTALK 的 DLL（hostfxr.dll）。其主要功能是与 C2 通信获取指令、与 TWINTASK 协同，并回传执行结果。支持将 C2 指令写入 in.txt，并支持文件上传与下载。

Singh 表示：“C2 协调模块与工作模块并行运行，通过文件轮询机制执行指令。TWINTALK 运行后进入心跳循环，随机延迟后再轮询 C2 获取指令。”

第二条攻击链是第一条的升级版，将 TWINTASK 与 TWINTALK 全部功能整合为单一程序 GHOSTFORM。它使用内存中直接执行 PowerShell 的方式运行来自 C2 的指令，从而避免在磁盘上留下痕迹。

这并非两条攻击链的唯一区别。部分 GHOSTFORM 样本内置硬编码 Google 表单地址，运行后会自动用默认浏览器打开。表单为阿拉伯语内容，伪装成伊拉克外交部官方调查问卷。

Zscaler 对 TWINTALK 与 GHOSTFORM 源码分析发现，其中存在占位符、表情符号与 Unicode 文本，表明攻击者可能使用生成式 AI辅助开发恶意软件。

此外，与 TWINTALK 关联的 C2 域名 meetingapp[.]site，已被 Dust Specter 在 2025 年 7 月攻击中用于搭建伪造的 Webex 会议邀请页面，诱导用户复制粘贴并运行 PowerShell 脚本 “加入会议”。该手法与 ClickFix 式社会工程攻击高度一致。

该 PowerShell 脚本会创建目录，从同一域名下载载荷并保存为可执行文件，同时创建计划任务每两小时运行该恶意程序。

Dust Specter 与伊朗关联的依据是：伊朗黑客组织长期使用轻量级自定义 .NET 后门。攻陷伊拉克政府基础设施的手法，也与 OilRig（APT34）等伊朗系组织过往攻击一致。

Zscaler 表示：“本次活动中高置信度归属 Dust Specter，通过高度仿真的社会工程诱饵冒充伊拉克外交部攻击政府官员。该活动也反映出主流趋势：ClickFix 式攻击手法与生成式 AI 在恶意软件开发中的广泛使用。”

消息来源：thehackernews.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文