伊朗国家支持的威胁行动

文章重点

• 伊朗的Educated Manticore行动与APT35紧密相关，该组织也被称为Mint Sandstorm。
• 此行动专门针对以色列，采用复杂的钓鱼攻击并分发更新版的PowerLess后门。
• 攻击手法包括利用与伊拉克主题相关的ISO映像档诱骗目标，进行PowerLess恶意软体的内存下载。
• PowerLess自2022年2月以来持有窃取网页和应用数据、截屏、记录按键及录音的能力，最近的新版本改进了加载机制并运用了.NET二进制文件。

根据 报导，伊朗国家支持的威胁行动Educated Manticore与APT35紧密相连。APT35也被称为MintSandstorm、Phosphorus、Charming Kitten、Yellow Garuda、CobaltIllusion和ITG18，该组织正对以色列展开精心设计的钓鱼攻击，这些攻击的目的是分发更新版本的PowerLess后门。根据Proofpoint的报告，EducatedManticore的攻击以一个ISO磁碟映像文件开始，使用伊拉克主题来吸引目标，以促进PowerLess恶意软体的内存下载执行。

PowerLess的新功能

自2022年2月以来，PowerLess拥有以下功能：

最近的行动中，后门版本经过了更新，显著改善了加载机制，并使用了.NET二进制文件。根据报告，还观察到另外两个档案与以伊拉克主题为背景的攻击序列有明显相似之处。

"由于这是之前报导的恶意软体的更新版本，... 重要的是要注意，这可能仅代表感染的早期阶段，感染后仍有大量活动未在实际环境中观察到，" Proofpoint指出。

这种情况提醒我们，网络安全形势依然严峻，相关机构与个人应加强安全防范措施，特别是在面对此类专业的网络攻击时。对于潜在的目标来说，保持警惕和采取预防措施至关重要。