伊朗国家威胁组织APT33利用新型后门恶意软件进行网络间谍活动

文章重点

APT33也称为Peach Sandstorm、Refined Kitten或Holmium正在针对美国国防工业基地DIB工作人员，使用一种新的后门恶意软件FalseFont进行间谍活动。FalseFont是一款定制的后门恶意软件，具备远程访问、启动附加文件以及向C2指挥与控制服务器发送信息的功能。APT33自2013年开始进行网络间谍活动，已针对多个国家的组织，特别是航空与能源行业。该组织在过去的活动中展现出对军事与商业机密的浓厚兴趣，尤其对国防承包商构成持续威胁。

APT33这一伊朗国家威胁组织正在针对美国国防工业基地DIB工作人员，运用一种此前未知的后门恶意软件FalseFont进行间谍活动。根据微软威胁情报团队的一条推特帖子，这一新型恶意软件的首次交付尝试是在11月初。

“FalseFont是一款定制的后门，具有多种功能，允许操作员远程访问被感染系统、启动其他文件并向其指挥与控制C2服务器发送信息，”威胁情报研究人员表示。

团队指出，这款新恶意软件的开发与使用与APT33过去一年的活动一致，表明该威胁组织正在持续改进其技术水平。

APT33聚焦国际航空与能源领域

APT33自2013年起开始实施网络间谍活动。根据在2017年首次发布并在今年10月更新的威胁研究文章，该威胁组织主要针对美国、沙特阿拉伯和韩国的组织，特别关注有军工和商业性质的航空领域及与石化生产相关的能源行业组织。

微软的威胁情报团队揭示，APT33于2月开展了一场历时数月的密码喷洒攻击活动，特别关注试图入侵卫星、国防和制药组织。

密码喷洒攻击是一种通过尝试有限数量的常用密码，来登录一个组织多个账户的方式。这种攻击方式不同于针对单个账户的暴力破解攻击。

“根据受害者组织的特点及观察到的后续入侵活动，微软评估此次初步访问活动可能是为了收集情报以支持伊朗国家利益，”微软的研究人员在当时表示。

在其登录尝试成功后，研究人员观察到APT33利用公开可用的工具和定制工具进行发现、持久化以及在被入侵组织中的横向移动。同时，在“少量入侵”中也数据泄露。

“尽管此次活动的具体影响因威胁行为者的决策而异，但即使是最初的访问也可能对特定环境的保密性产生不利影响，”他们指出。

由于包括伊朗在内的国家威胁者强烈渴望获取军事和商业机密，涵盖超过100000个国防承包商组织的DIB正面临来自威胁者的持续攻击。因此，五角大楼和国会正在进行不断努力，以提高DIB的网络安全韧性。

下载旋风加速器

除了DIB之外，另一伊朗高级持续威胁APT组织Cyber Av3ngers上个月对美国水务组织发起攻击，此次攻击导致目标设施中以色列制造的工业控制设备遭到破坏。