Bleeping Computer 網站消息，微軟表示，一伙疑似由伊朗支持的威脅攻擊者正在針對歐洲和美國研究機構和大學的高級雇員發起魚叉式網絡釣魚攻擊，并推送新的后門惡意軟件。

據悉，這些威脅攻擊者是臭名昭著的 APT35 伊朗網絡間諜組織（又稱 Charming Kitten 和 Phosphorus）的一個子組織，疑似與伊斯蘭革命衛隊（IRGC）有關聯。這些威脅攻擊者通過此前已經成功入侵的賬戶發送定制的、難以檢測的釣魚郵件。

微軟方面強調，自 2023 年 11 月以來，微軟持續觀察到 APT 35 的子組織以比利時、法國、加沙、以色列、英國和美國的大學和研究機構中從事中東事務的知名人士為目標，在這些攻擊活動中，威脅攻擊者使用了定制的網絡釣魚誘餌，試圖通過社交工程讓目標下載惡意文件。

少數情況下，微軟還觀察到了新的入侵后技術，包括使用名為 MediaPl 的新定制后門。

MediaPl 惡意軟件使用加密通信渠道與其指揮控制（C2）服務器交換信息，并被設計為偽裝成 Windows媒體播放器以逃避安全檢測。MediaPl 與其 C2 服務器之間的通信使用 AES CBC 加密和 Base64 編碼，在被入侵設備上發現的變種具有自動終止、暫時停止、重試 C2 通信以及使用 _popen 函數執行 C2 命令的能力。

此外，名為 MischiefTut 的第二個基于 PowerShell 的后門惡意軟件可幫助威脅攻擊者投放額外的惡意工具并提供偵察能力，使其能夠在被入侵的系統上運行任何命令，并輸出發送到威脅攻擊者控制的服務器上。

APT35 攻擊活動背后的攻擊鏈（圖源：微軟）

APT35 組織的子組織主要攻擊高價值目標，并從被攻破的系統中竊取敏感數據，此前該組織的攻擊目標主要是研究人員、教授、記者和其他了解與伊朗利益一致的安全和政策問題的個人。這些與情報界和政策界合作或有可能對情報界和政策界產生影響的個人，對于那些試圖為贊助其活動的國家（如伊朗伊斯蘭共和國）收集情報的對手來說，是極具吸引力的目標。

2021 年 3 月至 2022 年 6 月間，APT35 組織在針對政府和醫療保健組織以及金融服務、工程、制造、技術、法律、電信和其他行業領域的公司的攻擊活動中，利用以前未知的惡意軟件，至少在 34 家公司中設置了后門。

伊朗黑客組織還在針對 macOS 系統的攻擊中使用了前所未見的 NokNok 惡意軟件，旨在收集、加密和外泄被入侵 Mac 的數據。

另一個被追蹤為 APT33（又名 Refined Kitten 或 Holmium）的伊朗威脅組織自 2023 年 2 月以來在針對全球數千個組織的大范圍密碼噴射攻擊中入侵了國防組織，最近還被發現試圖利用新的 FalseFont 惡意軟件入侵國防承包商。

參考文章：https://www.bleepingcomputer.com/news/security/microsoft-iranian-hackers-target-researchers-with-new-mediapl-malware/