伊朗网络间谍活动分析:技术手法与归因挑战
关键发现
- 2025年6月至8月期间,Proofpoint开始追踪一个名为UNK_SmudgedSerpent的未知威胁行为体,其目标为学者和外交政策专家
- UNK_SmudgedSerpent利用国内政治诱饵,包括伊朗社会变革和对伊斯兰革命卫队军事化的调查
- 攻击者使用良性对话开场、健康主题基础设施、OnlyOffice文件托管仿冒和远程监控管理工具
- 调查过程中,UNK_SmudgedSerpent展示了与多个伊朗行为体相似的手法:TA455、TA453和TA450
- 重叠的战术技术和程序阻碍了高置信度归因,但有几种假设可以解释UNK_SmudgedSerpent与其他伊朗组织关系的性质
概述
6月,Proofpoint威胁研究开始调查一封讨论伊朗经济不确定性和国内政治动荡的良性电子邮件。虽然与伊朗-以色列冲突升级同时发生,但没有迹象表明观察到的活动与以色列对伊朗核设施的袭击或伊朗的回应行动直接相关。
对活动的初步分析发现,其战术、技术和程序与多个伊朗相关组织存在重叠,包括TA455、TA453和TA450。由于缺乏与任何一个已确立威胁组织的高置信度链接,我们将此活动指定为一个临时集群,称为UNK_SmudgedSerpent。
感染链以良性对话开始,随后进行电子邮件交换和凭据收集尝试。在此初始凭据收集尝试之后,UNK_SmudgedSerpent继续在同一电子邮件线程内对特定目标进行网络钓鱼活动,并随后传递一个托管存档文件的URL,该文件包含加载RMM有效载荷的MSI。
伊朗关联
初始TA453线索
UNK_SmudgedSerpent在Proofpoint数据中首次识别的活动仿冒布鲁金斯学会成员,于2025年6月中旬联系美国某智库的20多名成员。针对伊朗相关政策领域的特定主题专家通常是TA453活动的特征,特别是使用良性对话开场。然而,针对单个组织的大量人员接触偏离了Proofpoint威胁研究对典型TA453技术的观察。
在另一个与典型TA453活动的偏差中,目标组织的成员几乎涵盖所有专业领域,包括国防、先进技术、经济安全和全球健康,以及区域特定专家。TA453主要关注中东政策议题,如伊朗核谈判或伊朗外交关系。无论每位收件人的专业领域如何,UNK_SmudgedSerpent都利用相同的关于即将到来的伊朗社会改革的协作诱饵。
攻击者的方法仿冒了苏珊娜·马洛尼——布鲁金斯学会外交政策项目副总裁兼主任、伊朗专家——使用Gmail地址和拼写错误的姓名“Suzzane Maloney”。
收到回复后,Suzzane Maloney角色比Proofpoint过去与TA453互动中观察到的更为谨慎。攻击者坚持在继续进行任何协作尝试之前验证目标身份和电子邮件地址的真实性。
随着接触继续,该角色发送了会议指定时间,使用以色列时间作为参考点,尽管目标位于美国。在交付阶段,行为者开始偏离TA453的典型TTP,并发送一个看似属于“Suzzane Maloney”(再次拼写错误)的OnlyOffice URL链接,其中包含与即将举行的会议相关的文档。
向TA455过渡
该URL仅在电子邮件中伪装成OnlyOffice链接,但实际上超链接到一个健康主题的攻击者域名thebesthomehealth[.]com,该域名重定向到第二个健康主题的攻击者域名mosaichealthsolutions[.]com,显示Microsoft 365登录页面。该URL托管一个自定义凭据收集页面,其中预加载了用户信息。
传递变体
在VirusTotal上可以找到此感染链的另一个版本,其中两个域名类似地用于Microsoft相关重定向链。hxxps://thebesthomehealth[.]com/[redacted15characterstring]伪装成Microsoft Teams登录,然后重定向到mosaichealthsolutions[.]com域名。
然而,在撰写本文时,点击“立即加入”按钮后的后续阶段尚不清楚。
TA455延续
在Proofpoint的调查中,目标对凭据收集页面表示怀疑后,UNK_SmudgedSerpent移除了初始thebesthomehealth[.]com URL的密码要求。该链接随后进入一个仿冒的OnlyOffice登录页面。
点击“继续”或登录将加载另一个也托管在thebesthomehealth[.]com上的页面,该页面继续模仿OnlyOffice并托管两个PDF、一个Excel文档和一个ZIP存档。
UNK_SmudgedSerpent引用OnlyOffice URL和健康主题域名让人想起TA455活动。TA455至少从2024年10月开始注册健康相关域名,此前是一系列具有航空航天兴趣的域名,而OnlyOffice在2025年6月最近变得流行用于托管文件,如下方时间线所示。
UNK_SmudgedSerpent域名于2025年4月开始出现,比6月观察到的首次活动早几周。
以TA450完成链条
执行时,UNK_SmudgedSerpent的ZIP存档加载一个MSI文件,该文件启动PDQConnect远程监控管理软件。其余文档似乎是诱饵。
在我们的研究过程中,威胁研究观察到UNK_SmudgedSerpent从事疑似手动键盘活动,攻击者利用PDQConnect安装额外的RMM软件ISL Online。
攻击者顺序部署两种不同RMM工具的原因尚不清楚。UNK_SmudgedSerpent可能在凭据收集尝试未成功且威胁行为者对Proofpoint的调查产生怀疑后,将RMM软件部署为一次性选项。然而,在撰写本文时,这两种假设均无法确认。
虽然使用RMM是滥用常见合法工具的通用技术,但很少看到它们与国家支持的行为体关联,并且仅在过去几年的TA450活动中有一个伊朗行为体使用记录。
后续活动
在6月26日讨论的电子邮件交换结束之前,Proofpoint于6月23日识别出另一个仿冒马洛尼博士(姓名拼写正确)的Gmail账户——suzannemaloney68@gmail[.]com——针对一名看似是以色列人的美国学者。在此诱饵中,UNK_SmudgedSerpent请求协助调查伊斯兰革命卫队。
一周后,一个仿冒华盛顿研究所主任帕特里克·克劳森的不同角色,使用完全相同的内容针对同一学者,使用patrickclawson51@gmail[.]com。
2025年8月初,UNK_SmudgedSerpent再次出现,这次是征求有关伊朗在拉丁美洲努力的信息和协作。网络钓鱼电子邮件源自另一个帕特里克·克劳森的仿冒,这次使用Outlook电子邮件地址:patrick.clawson51@outlook[.]com。然而,签名中的电子邮件不匹配,包括潜在合法电子邮件和之前使用的仿冒电子邮件patrickclawson51@gmail[.]com。
下方时间线显示了UNK_SmudgedSerpent活动的活动和节奏,这些活动似乎是主题性的和零星的。在针对20多人的初始接触之后,Proofpoint数据显示该行为体在后续活动中仅关注孤立目标。
自8月初以来,未观察到该行为体的进一步活动。
基础设施
调查疑似UNK_SmudgedSerpent基础设施(如healthcrescent[.]com)发现了进一步的活动,这些活动使UNK_SmudgedSerpent与TA455的关系和重叠更加复杂。
healthcrescent[.]com与一组域名共享服务器配置相似性,包括ebixcareers[.]com,该域名显示虚假Teams门户。职业主题域名和Teams仿冒都让人想起之前的TA455活动。
相关URL类似于之前观察到的TA453活动,使用“会议”主题。hxxps://interview.ebixcareers[.]com/teams/join-online-room-homv-patm-elro/从以下OnlyOffice URL获取有效载荷:
hxxps://docspace-mpv1y2.onlyoffice[.]com/rooms/share?key=ZXVSTEhNKzM3NHBIeHg3R3M4cnBRcDFDUnk0b[…]0_Ijg4YzkzZTRhLWNmYzktNGJkMy1iYzYyLWY2NWY0OTczNTBlZCI
9月中旬此页面上托管的文件包括波音公司的良性招聘相关PDF,这是TA455涉及航空航天和职业主题兴趣操作的传统方面。
Hiring Portal.zip包含两个DLL和一个可执行文件;合法EXE旁加载userenv.dll,并通过另一个合法EXE旁加载xmllite.exe。userenv.dll是TA455自定义后门,在公开报告中称为MiniJunk,是之前报告的名为MiniBike的恶意软件版本。虽然基础设施可能与UNK_SmudgedSerpent一致,但尚不清楚为何同时托管TA455自定义恶意软件。
OnlyOffice URL上托管的最终文件是Interview time.msi,一个负责安装RMM工具PDQConnect的加载器,在UNK_SmudgedSerpent和TA450活动中均有部署,但之前未发现与TA455关联。
对与UNK_SmudgedSerpent活动相关的基础设施和操作的探索进一步模糊了归因界限以及与TA455关系的性质。
归因
Proofpoint威胁研究目前将此活动作为新威胁行为体——UNK_SmudgedSerpent——单独跟踪,并与TA453、TA455和TA450明显聚类。尽管在感染链的各个阶段与已确立威胁行为体存在若干重叠(如下所示),但在某些情况下,这些重叠仍然薄弱,缺乏高置信度链接。
| TTP | UNK_SmudgedSerpent | TA453 | TA455 | TA450 |
|---|---|---|---|---|
| 发件人电子邮件 | 免费邮件 | 免费邮件 | 攻击者自有域名 | 被入侵企业账户 |
| 初始接触 | 良性对话 | 良性对话 | 恶意招聘申请 | 恶意活动邀请 |
| 目标 | 政策专家、智库 | 政策专家、智库 | 航空航天与国防、运输/物流、技术 | 政府、电信、运输 |
| 传递 | OnlyOffice仿冒、Teams仿冒 | Teams仿冒、Scalingo、OneDrive | OnlyOffice | Mega.nz、FliQR |
| 目标 | 凭据窃取、恶意软件传递 | 凭据窃取、恶意软件传递 | 恶意软件传递 | 恶意软件传递 |
| 域名主题 | 健康和招聘、组织仿冒 | 组织、会议、Google、Microsoft和技术仿冒 | 健康、航空航天和招聘 | 技术、其他 |
| 基础设施 | Cloudflare、Namecheap | Hetzner、OVH、RouterHosting、Namecheap | Cloudflare、Namecheap | NordVPN、Cloudflare Namecheap |
| 恶意软件 | RMM | PowerShell后门 | 自定义后门 | RMM、自定义PowerShell和.NET后门 |
鉴于伊朗生态系统的动态性质及其对承包公司的广泛使用,团体、活动、恶意软件和基础设施交叉的情况经常发生。我们假设TTP收敛有几种可能性,其可能性各不相同,包括:
- 集中采购:注册和分发基础设施的共享资源或共享恶意软件开发人员
- 人员流动:一个团体解散,另一个团体吸收团队成员,或者团体基于新要求或共享职责合并
- 人际关系:同一团队的个别成员有TTP偏好,操作员彼此分享他们偏好的技术
- 并行承包商部署:母公司/赞助机构将一个特定威胁团体或活动任务分配给多个承包公司
- 机构协作:由于团体与不同机构的关联,伊斯兰革命卫队和情报部在组织层面进行跨机构交流
结论
UNK_SmudgedSerpent首次观察到的活动在2025年6月,之后该团体几次出现,针对美国政策专家,使用有关伊朗内部政治发展的诱饵。随后的调查揭示了与TA453、TA450和TA455在TTP上的多重重叠。然而,丰富的链接阻碍了高置信度归因到任何这些团体。
虽然自2025年8月以来未在电子邮件活动中观察到UNK_SmudgedSerpent,但相关活动可能仍在进行。出现具有借用技术的新行为体表明团队之间可能存在人员流动或交流,但职责一致;然而,在撰写本文时,UNK_SmudgedSerpent没有确认的归因。TTP和基础设施是先前观察到的伊朗威胁团体行为的延伸,针对伊朗外交政策专家继续反映伊朗政府的情报收集优先级。
ET规则
[规则列表...]
指标
UNK_SmudgedSerpent
| 指标 | 类型 | 描述 | 首次出现 |
|---|---|---|---|
| suzzanemaloney@gmail[.]com | 电子邮件地址 | 网络钓鱼 | 2025年6月 |
| suzannemaloney68@gmail[.]com | 电子邮件地址 | 网络钓鱼 | 2025年6月 |
| patrickclawson51@gmail[.]com | 电子邮件地址 | 网络钓鱼 | 2025年6月 |
| patrick.clawson51@outlook[.]com | 电子邮件地址 | 网络钓鱼 | 2025年8月 |
| hxxps://suzzanemaloney2506090953.onlyoffice[.]com/s.-k6vjflsdagdsfgh | URL | 传递 | 2025年6月 |
| thebesthomehealth[.]com | 域名 | 传递 | 2025年4月 |
| mosaichealthsolutions[.]com | 域名 | 传递 | 2025年4月 |
| healthcrescent[.]com | 域名 | 传递 | 2025年5月 |
| ebixcareers[.]com | 域名 | 传递 | 2025年7月 |
| 6eb7df21d6f1e3546c252a112504eefbb19205167db89038f2861118bbc8871c | SHA256 | 良性PDF | 2025年9月 |
| 0bdb64fc1d5533f7b3fffaf821e89f286ad2d7400a914f21abdcbb7bb8a39e63 | SHA256 | 良性PDF | 2025年9月 |
| cac018dccdf6ce4bef19ab71e3e737724aed104bc824332a5213c878b065ff50 | SHA256 | EXE | 2025年9月 |
| 7b5fb8202bff90398ab007579713f66430778249e43b46f35df6c3ded628f129 | SHA256 | DLL | 2025年9月 |
| 129a40e38ef075c7d33d8517b268eb023093c765a32e406b58f39fab6cc6a040 | SHA256 | DLL | 2025年9月 |
| 85858880ee7659cc1152b6a126bc20b9b4fb1b46dddea5af2d65d48d58cd058 | SHA256 | MSI | 2025年9月 |
| 0fcdaa2f4db94e0589617830d3d80430627815ef0e4b0c7b7ff5c1ebb82a4136 | SHA256 | 良性PDF | 2025年9月 |
| 1e9c31ce0eba2100d416f5bc3b97dafe2da0d3d9aee96de59ec774365fe3fe89 | SHA256 | ZIP | 2025年9月 |
TA455
| 指标 | 类型 | 描述 | 首次出现 |
|---|---|---|---|
| emiratesgroup-careers[.]com | 域名 | 相关基础设施 | 2024年5月 |
| flydubai-careers[.]com | 域名 | 相关基础设施 | 2024年5月 |
| airbusgroup-careers[.]com | 域名 | 相关基础设施 | 2024年5月 |
| gocareers[.]org | 域名 | 相关基础设施 | 2024年6月 |
| rheinmetallcareers[.]com | 域名 | 相关基础设施 | 2024年6月 |
| careers2find[.]com | 域名 | 相关基础设施 | 2024年6月 |
| opportunities2get[.]com | 域名 | 相关基础设施 | 2024年6月 |
| emiratescareers[.]org | 域名 | 相关基础设施 | 2024年7月 |
| droneflywell[.]com | 域名 | 相关基础设施 | 2024年7月 |
| usa-careers[.]com | 域名 | 相关基础设施 | 2024年8月 |
| careers-hub[.]org | 域名 | 相关基础设施 | 2024年9月 |
| global-careers[.]com | 域名 | 相关基础设施 | 2024年9月 |
| ehealthpsuluth[.]com | 域名 | 相关基础设施 | 2024年9月 |
| worldcareers[.]org | 域名 | 相关基础设施 | 2024年9月 |
| uavnodes[.]com | 域名 | 相关基础设施 | 2024年9月 |
| careersworld[.]org | 域名 | 相关基础设施 | 2024年9月 |
| thecareershub[.]org | 域名 | 相关基础设施 | 2024年9月 |
| germanywork[.]org | 域名 | 相关基础设施 | 2024年9月 |
| easymarketing101[.]com | 域名 | 相关基础设施 | 2024年9月 |
| collaboromarketing[.]com | 域名 | 相关基础设施 | 2024年9月 |
| virgomarketingsolutions[.]com | 域名 | 相关基础设施 | 2024年9月 |
| marketinglw[.]com | 域名 | 相关基础设施 | 2024年9月 |
| anteromarketing[.]com | 域名 | 相关基础设施 | 2024年9月 |
| airbusaerodefence[.]nl | 域名 | 相关基础设施 | 2024年11月 |
| dronetechasia[.]org | 域名 | 相关基础设施 | 2024年11月 |
| asiandefenses[.]com | 域名 | 相关基础设施 | 2024年11月 |
| msnclouds[.]com | 域名 | 相关基础设施 | 2024年11月 |
| kibanacore[.]com | 域名 | 相关基础设施 | 2024年11月 |
| boeingspace[.]com | 域名 | 相关基础设施 | 2024年11月 |
| airbusaerodefence[.]com | 域名 | 相关基础设施 | 2024年12月 |
| jadehealthcenter[.]com | 域名 | 相关基础设施 | 2024年12月 |
| clearmindhealthandwellness[.]com | 域名 | 相关基础设施 | 2025年1月 |
| accountroyal[.]com | 域名 | 相关基础设施 | 2025年1月 |
| msnapp[.]help | 域名 | 相关基础设施 | 2025年1月 |
| msnapp[.]live | 域名 | 相关基础设施 | 2025年1月 |
| zytonhealth[.]com | 域名 | 相关基础设施 | 2025年2月 |
| alwayslivehealthy[.]com | 域名 | 相关基础设施 | 2025年2月 |
| healthiestmama[.]com | 域名 | 相关基础设施 | 2025年2月 |
| healthcarefluent[.]com | 域名 | 相关基础设施 | 2025年2月 |
| healthinfusiontherapy[.]com | 域名 | 相关基础设施 | 2025年2月 |
| mojavemassageandwellness[.]com | 域名 | 相关基础设施 | 2025年2月 |
| chakracleansetherapy[.]com | 域名 | 相关基础设施 | 2025年2月 |
| bodywellnessbycynthia[.]com | 域名 | 相关基础设施 | 2025年2月 |
| palaerospace[.]careers | 域名 | 相关基础设施 | 2025年2月 |
| rhealthylivingsolutions[.]com | 域名 | 相关基础设施 | 2025年4月 |
| sulumorbusinessservices[.]com | 域名 | 相关基础设施 | 2025年4月 |
| airbushiring[.]com | 域名 | 相关基础设施 | 2025年4月 |
| joinboeing[.]com | 域名 | 相关基础设施 | 2025年5月 |
| rheinmetallcareer[.]org | 域名 | 相关基础设施 | 2025年5月 |
| rheinmetallcareer[.]onlyoffice[.]com | 域名 | 相关基础设施 | 2025年5月 |
| rheinmetallcareer[.]com | 域名 | 相关基础设施 | 2025年5月 |
| careers-portal[.]org | 域名 | 相关基础设施 | 2025年5月 |
| boeinginformation[.]onlyoffice[.]com | 域名 | 相关基础设施 | 2025年5月 |
| airbus-careers[.]onlyoffice[.]com | 域名 | 相关基础设施 | 2025年6月 |
| airbus-survay[.]onlyoffice[.]com | 域名 | 相关基础设施 | 2025年7月 |
| malebachhew2506090936.onlyoffice[.]com | 域名 | 相关基础设施 | 2025年7月 |
| randcorp.onlyoffice[.]com | 域名 | 相关基础设施 | 2025年7月 |
| 更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手) | |||
| 对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享) |
公众号二维码
公众号二维码
浙公网安备 33010602011771号