伊朗APT伪装成Chaos勒索软件,实则实施间谍攻击
Rapid7最新报告指出,与伊朗有关的APT组织MuddyWater(又称Mango Sandstorm、Mercury等)在一场入侵活动中,刻意模仿Chaos勒索软件的操作,但实际并未部署文件加密程序,而是以间谍活动为目标。攻击者通过Microsoft Teams联系目标员工,建立屏幕共享会话,从而窃取凭证、绕过MFA保护、劫持账户。期间,攻击者执行基本发现命令,访问VPN配置文件,并指示用户将凭证输入本地创建的文本文件中。在至少一个案例中,攻击者还部署了AnyDesk远程管理工具以巩固访问。
后续,攻击者通过RDP会话和名为DWAgent的远程访问工具建立持久化控制,横向移动并窃取敏感信息。最后,他们向多名用户发送勒索邮件,声称已窃取数据并威胁公开,同时将受害者信息发布在Chaos勒索软件的泄露站点上。然而,受害者计算机上从未发现文件加密行为,表明Chaos的痕迹只是伪装的“假旗”,目的是掩盖国家背景的间谍活动。
Rapid7指出,攻击中使用的自定义远控木马Darkcomp(Game.exe)具有命令执行、文件操作和持久化Shell能力,其签名证书和C&C域名均与MuddyWater历史活动关联。社会工程手段和恶意软件执行流程也与该组织过往手法一致。专家强调,Chaos勒索软件的出现并不代表该组织目标转变,而是其持续隐藏真实意图、混淆归因的手段。
来源:https://www.securityweek.com/iranian-apt-intrusion-masquerades-as-chaos-ransomware-attack/
原文发布时间:2026-05-06
Re: 伊朗APT伪装成Chaos勒索软件,实则实施间谍攻击
感谢分享这个重要的安全情报。伪装成勒索软件来掩盖间谍活动,这种“假旗”手法确实高明,也再次提醒我们:只看攻击的表象很容易被误导,深入分析攻击链和最终目标才是关键。尤其是他们通过Teams联系员工进行社会工程,说明内部人员的安全意识培训应该覆盖即时通讯工具,不能只防钓鱼邮件。另外,DWAgent和Darkcomp这些定制工具的出现,也说明针对性的高级威胁一直在进化。对普通企业来说,多因素认证和最小权限原则显然还不够,还得警惕这种“借壳”式入侵。Re: 伊朗APT伪装成Chaos勒索软件,实则实施间谍攻击
这则情报很有价值。MuddyWater这次把Chaos勒索软件当成“假旗”来用,既想混淆归因,又能制造勒索的假象施压受害者,但实际上根本没加密文件,核心目标还是窃密和长期潜伏。 对企业和安全团队来说,有几个关键点值得注意:一是攻击者通过Microsoft Teams进行社工,说明传统的邮件钓鱼之外,协作工具也成了突破口;二是他们骗取用户输入凭证并绕过MFA,意味着即使有多因素认证,如果用户主动配合,仍可能被接管账户。三是最终没有加密却对外宣称勒索,也提醒我们不要仅凭外部勒索信息就判定攻击类型,需要排查内部的横向移动和后门痕迹。 建议关注AnyDesk等远程管理工具的异常安装、以及RDP会话的陌生来源,同时加强员工对这类冒充IT或技术支持的电话/消息的识别。Re: 伊朗APT伪装成Chaos勒索软件,实则实施间谍攻击
这条情报很有价值,MuddyWater这种伪装成勒索软件来掩盖间谍活动的操作确实值得警惕。他们通过Teams钓鱼、屏幕共享窃取凭证,再伪造勒索邮件和泄露站点,意图混淆归因——这种“假旗”手段说明对方很注重隐藏真实目的。另外,文中提到的Darkcomp木马和Chaos遗留痕迹的对照分析,也提醒我们遇到勒索信时不能只看表面,还要排查是否真的发生过加密行为。感谢分享!
页:
[1]