疑似伊朗APT35组织冒充模特经纪公司展开攻击活动——每周威胁情报动态第222期 （05.09-05.15）

疑似伊朗APT35组织冒充模特经纪公司展开攻击活动

近日，Palo Alto Networks的Unit 42团队发现了一起疑似由伊朗网络攻击组织APT35发起的网络攻击活动，他们冒充一家德国模特经纪公司，通过一个精心设计的虚假网站收集访问者的详细信息，构建了隐蔽的网络基础设施，并准备实施针对性的社会工程学攻击。

Unit 42 监测到，一个名为megamodelstudio.com的域名，自2025年2月18日注册后，从3月1日起解析到IP地址64.72.205.32。该域名搭建的网站伪装成总部位于汉堡的Mega Model Agency，在页面设计、品牌标识和内容上与真实网站极为相似，试图以此迷惑访问者。访问该虚假网站时，页面会自动运行一段经过混淆处理的JavaScript代码。这段代码会收集访问者的详细信息，包括浏览器语言、屏幕分辨率、IP地址以及浏览器指纹等。攻击者收集这些信息，很可能是为了实现精准的目标定位，筛选出符合特定条件的攻击对象。此外，虚假网站还将真实模特的个人资料替换为一个名为“Shir Benzion”的虚构人物资料，并在其资料中插入了一个指向私人相册的链接，目前该链接处于未激活状态。推测这是攻击者为后续的社会工程学攻击所做的准备，极有可能利用这个虚假资料吸引目标，进而获取用户凭证或传播恶意软件。从攻击手法、目标选择以及行动的复杂性判断，此次活动极有可能是伊朗某个威胁组织的手笔。虽然目前尚未确认具体组织，但Unit42团队怀疑，该活动与曾被广泛报道的、针对伊朗异见人士、记者和活动人士（尤其是居住在国外的相关人员）开展间谍活动的Agent Serpens组织（也被称为APT35或Charming Kitten）存在关联。

图 1虚假网站图

技术分析

数据收集机制：当用户访问虚假网站的任何页面时，混淆的JavaScript 代码便会在浏览器中运行。它首先会枚举浏览器语言和插件，获取屏幕分辨率并收集时间戳，以此追踪访问者的所在地和设备环境；接着，通过基于 WebRTC 的 IP 地址泄露技术，获取用户的本地和公共 IP 地址；然后，利用 canvas 指纹技术，借助 SHA-256 算法生成设备唯一的哈希值。最后，代码会将收集到的数据（如语言、屏幕尺寸、canvas 哈希值等）整理成 JSON 格式，并通过 POST 请求发送到 /ads/track 端点。从命名方式来看，攻击者试图将数据收集伪装成正常的广告流量，以此逃避检测。

页面内容篡改：虚假网站不仅收集数据，还对页面内容进行动态修改。具体表现为将特定模特的页面引用替换为“Shir Benzion” 的虚构资料和图片。结合插入的私人相册链接，这一系列操作构成了完整的社会工程学攻击策略，利用虚假的吸引力诱导用户上钩，为后续攻击创造条件。

参考链接：

https://unit42.paloaltonetworks.com/iranian-attackers-impersonate-model-agency/

APT37组织“玩具盒故事”攻击行动曝光，韩国国家安全战略智库遭伪装攻击

2025年3月，韩国部分对朝领域活动家遭遇了一场精心策划的网络攻击。攻击者伪装成韩国国家安全战略智库的学术会议通知，通过鱼叉式网络钓鱼邮件向目标发送恶意文件，企图窃取敏感信息。经Genians安全中心（Genians Security Center，简称GSC）调查发现，此次攻击由与朝鲜有关联的APT37组织发起，代号为“玩具盒故事”（Operation ToyBox Story）。

APT37组织利用合法的云存储服务Dropbox作为传播恶意文件和命令控制（C2）服务器的渠道，通过精心伪装的邮件诱导受害者下载包含恶意快捷方式（LNK）文件的压缩包。一旦受害者解压并执行LNK文件，便会触发一系列恶意行为，最终导致名为RoKRAT的恶意软件在受害者设备上运行。

此次攻击分为两个阶段。第一阶段发生在3月8日，攻击者伪装成韩国对朝领域专家，发送了一封标题为“俄罗斯战场上的朝鲜士兵”的邮件，附件名为“俄罗斯战场上的朝鲜士兵.zip”。该压缩包内含一个LNK文件，执行后会下载并运行RoKRAT恶意软件。第二阶段发生在3月11日，攻击者伪装成韩国国家安全战略智库，发送了一封关于学术会议的通知邮件，附件名为“相关海报.zip”。该压缩包内同样包含一个LNK文件和一个正常的JPG图片文件。LNK文件执行后，会通过PowerShell命令下载并运行RoKRAT恶意软件。

RoKRAT是一种典型的文件驻留型恶意软件，其主要功能包括收集系统信息、截取屏幕截图、执行远程指令等。该恶意软件通过多层加密和编码技术隐藏其恶意行为，使其难以被传统安全软件检测到。此外，RoKRAT还会与C2服务器进行通信，将收集到的信息上传至攻击者控制的云存储服务。

通过分析攻击中使用的基础设施、恶意软件代码以及相关电子邮件账户，GSC判断此次攻击与APT37组织有关。APT37组织长期利用合法云服务作为攻击平台，并频繁更换攻击手法和恶意软件变种以逃避检测。此次攻击中，攻击者使用了多个俄罗斯Yandex邮箱账户和Dropbox服务作为C2服务器，进一步表明其与APT37组织的一贯行为模式相符。

图 2APT37组织攻击流程图

参考链接：

https://www.genians.co.kr/blog/threat_intelligence/toybox-story

印度遭遇黑客组织网络攻击事件分析

2025年4月22日，印度查谟和克什米尔邦帕哈尔甘地区发生恐怖袭击事件后，印度采取了针对边境另一侧及巴基斯坦占领的克什米尔地区（PoK）所谓恐怖基础设施的针对性军事打击行动。此后，印度遭遇了来自超过40个黑客行动组织协调一致的网络攻击。根据研究人员的调查结果，在随后的两周内，多个亲巴基斯坦以及东南亚黑客行动组织发动了一系列分布式拒绝服务（DDoS）攻击和网站篡改行动，这些行动既有单独实施的，也有协调一致的行动。

截至目前，已有超过40个黑客行动组织参与了此次网络攻击活动。研究人员调查结果显示，其中最为活跃的组织包括Keymous+、AnonSec、救世主之国（Nation of Saviors）和电子特种部队（Electronic Army Special Forces）。攻击主要针对关键政府门户网站、医疗保健基础设施、网络防御机构以及城市市政机构。具体行业攻击目标显示，政府和执法机构成为重点攻击对象，同时针对多行业服务、教育、银行和金融服务以及医疗、国防和IT等关键行业的攻击也造成了严重破坏。研究还表明，黑客行动组织的攻击主张明显呼应了巴基斯坦官方的立场。他们在网络空间实时对地面冲突区的动态进行报复，显示出一种将数字干扰与物理升级相结合的混合战争模式。

网络攻击活动在帕哈尔甘恐怖袭击事件发生两天后迅速升级。研究人员观察到，在4月的最后一周，黑客行动组织的攻击声明急剧增加，4月30日达到顶峰。进入5月第一周，黑客行动组织的活动仍在持续，他们将“攻击声明和行动言论与更广泛的政治背景相呼应”。5月7日凌晨，印度武装部队发动了代号为“辛杜行动”（Operation Sindoor）的报复性军事打击，针对巴基斯坦和巴基斯坦管理的克什米尔地区的所谓恐怖分子营地。此后，网络攻击活动达到最大峰值。这与黑客行动组织宣称的目标一致，他们将网络行动视为对印度军事行动的统一回应。Keymous+、电子特种部队和AnonSec等重要网络攻击者在网站篡改和DDoS攻击声明中直接提及空袭。Keymous+成为最具攻击性的黑客行动组织，持续攻击印度公共医疗保健基础设施，针对主要大都市地区的市政公司。AnonSec将活动重点放在象征性的政府门户网站上，包括总理办公室、国家司法数据网格和选举委员会。电子特种部队声称对国家防御、司法和网络安全门户网站的攻击负责。救世主之国发动了两轮针对印度国家基础设施的DDoS攻击，重点是国防、执法、教育和电子政务。该组织最重要的攻击目标包括中央调查局、国家信息中心和印度空军。

此次黑客行动组织攻击活动以破坏性战术为主，旨在破坏印度面向公众的基础设施。DDoS攻击占所有报告事件的52.5%，成为破坏可用性和造成声誉损害的主要方法。这些攻击频繁针对部委、医疗保健系统、网络防御机构和市政平台。网站篡改占活动的36.1%。篡改内容通常显示反印度声明、报复性言论和威胁行为者团体的品牌标识。数据泄露声明占攻击的8.2%。大多数数据泄露尝试缺乏可验证的数据泄露，表明其目标可能是展示渗透能力并增加心理压力。未经授权的访问尝试占活动的3.3%，针对国家、医疗和司法系统的登录门户和管理面板。这些活动进一步证实了我们的结论，即这些攻击是机会主义的试探，而不是持续的访问或利用。

根据目前的调查分析结果，攻击组合表明此次攻击旨在最大限度地提高可见性和破坏性，而不是长期的持续性或隐蔽性访问。DDoS和网站篡改的偏好突显了此次行动的象征性和报复性本质。政府和执法机构成为受影响最大的目标，占所有事件的36.1%。这些包括中央和州政府门户网站、国防机构和执法机构，通常通过DDoS和网站篡改进行攻击。跨多行业攻击占攻击的13.1%。这些包括跨部门或管辖区聚合服务的门户网站，可能被选中是为了放大黑客行动组织破坏的表象。研究人员能够验证DDoS和网站篡改声明，但数据泄露声明缺乏可信证据，因此被评定为“可能属实”。

参考链接：

https://cyble.com/blog/india-experience-hacktivist-group-activity/

美国银行街教育学院50万份敏感文件遭泄露曝光

近日，网络安全研究团队Cybernews披露一起严重的数据泄露事件：总部位于纽约的百年私立名校银行街教育学院（Bank Street College of Education），因亚马逊AWS存储桶配置疏忽，导致超50万份包含个人敏感信息的文件在互联网上暴露。据调查，该存储桶未设置访问权限限制，处于公开可读状态至少一个月，期间任何人均可通过自动化工具扫描获取数据，为潜在攻击者提供了可乘之机。

此次泄露的文件多数为个人简历与求职简历，涉及数十万人的敏感信息，时间跨度从2014年至2022年。具体信息包括姓名、家庭住址、电子邮箱、电话号码等基础身份信息，以及教育经历、工作背景等职业数据。Cybernews研究人员指出，这些信息的组合足以构建完整的个人档案，使受害者面临极高的身份盗窃、精准网络钓鱼和人肉搜索风险。例如，攻击者可能利用教育背景伪造 “校方通知” 或 “职业发展机会”，通过邮件、短信或语音电话诱导受害者提供身份证扫描件、银行账户等更敏感信息，甚至以 “补缴学费”“就业审核” 等名义实施诈骗。

技术分析显示，漏洞源于云存储桶的公共访问权限未被正确配置。Cybernews 团队在例行监测中通过公开端点定位到该存储实例，经抽样验证确认数据真实性及与学院的关联性后，于2月26日首次向学院披露漏洞，并在3月5日通知相关计算机应急响应小组（CERT）跟进处理。研究人员进一步指出，缺乏服务器端加密、传输加密及访问日志监控等安全措施，加剧了数据暴露的风险。

图 3 数据泄露验证

截至发稿，银行街教育学院尚未就事件原因、影响范围及补救措施作出公开回应。此次泄露事件不仅为教育机构敲响云存储安全警钟，也凸显了组织在云服务权限管理、数据加密和实时监控方面的薄弱环节。专家提醒，可能受影响人员需警惕近期异常通讯，避免泄露更多敏感信息，而各行业组织需以此为鉴，加强云安全动态管理与漏洞自查，防范类似风险。

参考链接：

https://cybernews.com/security/bank-street-college-data-leak/

英国零售巨头玛莎百货确认遭网络攻击，数百万客户数据泄露

2025年5月，英国零售巨头玛莎百货（Marks & Spencer, M&S）正式确认，三周前爆发的一场网络攻击导致客户个人数据遭窃取。这场始于4月下旬的攻击从4月25日起使玛莎百货在线购物服务因系统入侵被迫暂停，尽管线下门店服务及非接触式支付功能已部分恢复，但线上服务直至现在仍未完全恢复。据公司披露，被盗信息涵盖用户姓名、出生日期、电话号码、家庭住址、家庭信息、电子邮箱及在线订单历史，约940万活跃在线用户可能受影响，不过具体受波及人数尚未明确。首席执行官斯图尔特・马钦（Stuart Machin）强调 “尚无证据显示信息已被泄露传播”，且因系统未存储完整支付卡信息，支付卡细节及账户密码未被窃取，在一定程度上降低了直接财务损失风险，但大量个人身份与消费行为数据的泄露，仍让客户面临精准诈骗、身份冒用等长期威胁。

网络安全研究人员调查发现，此次攻击由黑客利用暗网“犯罪即服务”平台DragonForce实施，该平台近期已关联英国合作社（Co-op）和哈罗德百货（Harrods）等类似攻击事件。其采用“双重勒索（Double Extortion）”战术，一方面窃取敏感数据如用户信息，另一方面对公司系统进行加密，通过“数据泄露威胁+业务中断压力”双重手段迫使企业支付赎金。三周的服务中断表明系统被深度渗透，黑客可能已长期潜伏并完成数据渗出与系统加密部署。NCC集团威胁情报负责人马特・赫尔（Matt Hull）指出，被盗的详细个人信息可被用于制作“高度逼真的诈骗内容”，比如冒充客服发送钓鱼邮件，以“订单异常”“账户验证”等名义诱导用户点击恶意链接或透露更多信息。

参考链接：

https://gbhackers.com/marks-spencer-confirms-customer-data-breach/

TransferLoader恶意软件：复杂攻击链与深度技术剖析

TransferLoader是一种高度复杂的恶意软件加载器，通常作为恶意软件执行链的初始环节出现。它通过解密并执行嵌入的恶意载荷来实现其攻击目的。这些载荷可能由同一攻击者开发，具有代码相似性，包括下载器、后门加载器、后门模块以及Morpheus勒索软件家族。

在反分析技术方面，TransferLoader及其载荷采用了多种手段来增加恶意软件的检测难度并阻碍安全研究人员的分析工作。例如，它会检索自身文件名并检查是否包含特定的硬编码子字符串后跟字符“_”，某些变种需要两个或更多命令行参数才能继续执行。此外，它还利用进程环境块（PEB）中的BeingDebugged字段检测调试会话，并动态解析Windows API，采用哈希算法来实现。在加载器的某些函数中插入无用代码块，这些代码块虽然不会执行，但足以破坏IDA的反编译过程。在字符串加密方面，TransferLoader的每个组件都通过位异或操作在运行时解密字符串，每个字符串都配有一个独特的8字节密钥进行解密。而代码混淆则采用了两种不同的方法，一种是读取当前代码块的地址，并从该地址中减去一个硬编码的偏移量，结果即为下一个要跳转/执行的代码块地址；另一种更为复杂，开发者在TransferLoader的嵌入式载荷中使用了该方法，混淆过程首先保存所有寄存器，然后为后续操作/存储分配堆栈空间，接着将任何本地函数变量和参数存储在SIMD寄存器中，并执行混淆指令。

TransferLoader的解密过程相对直接，具体步骤如下：从PE节中提取包含加密载荷的数据，该节的名称可能因样本而异；解密两个字符串：一个16字节的AES密钥和一个自定义Base32字符集；根据自定义Base32字符集计算一个1字节的密钥，并将其添加到目标节的每个加密字节中；上一步操作的结果是一个Base32字符串，然后使用自定义Base32字符集对其进行Base32解码；最后，使用16字节的AES密钥对解码后的数据进行位异或操作，并使用AES-CBC解密算法进行解密。尽管解密过程相对简单，但开发者对AES算法进行了修改，使得解密过程的自动化变得更加困难。

下载器是TransferLoader最常见的嵌入式载荷，其主要目标是从C2服务器下载额外的载荷并执行诱饵文件。它通过发送HTTPS GET请求到服务器来获取载荷，使用的HTTP头包括User-Agent: Microsoft Edge/1.0和X-Custom-Header: xxx。下载器使用硬编码的4字节密钥0xFFFFFFFF对收到的载荷进行位异或解密。解密后，它尝试使用其自定义哈希算法解析下载的载荷中的导出函数，该函数的哈希值应为0xF78B59DF7AED203F。如果成功，下载器将执行解析出的导出函数。操作完成后，它会打开一个PDF诱饵文件。如果导出函数执行成功但未返回任何数据，则下载器会重启当前的Windows资源管理器实例。诱饵文件要么嵌入在二进制文件中，要么由下载器创建一个包含8字节无用数据的无效PDF文件。

后门模块有其专用的加载器，用于处理读取或修改配置数据的任何请求。后门加载器期望位于资源管理器实例或记事本的内存空间中。在后一种情况下，后门加载器会执行一些额外操作，如钩住Windows APIShowWindow，删除特定的注册表项，并使用组件对象模型（COM）劫持在受感染的主机上添加持久性。后门加载器还用于检索和更新后门的配置，配置元素存储在特定的注册表项中。后门模块要更新或检索配置信息时，后门加载器会创建一个命名管道，支持多种管道命令，用于执行不同的操作，如更新C2服务器、睡眠/超时值、网络加密密钥等。

后门模块是接收和执行C2服务器命令以及更新自身配置数据的核心协调器。在初始化阶段，后门会从其加载器请求配置数据。如果配置数据缺失，执行将不会继续，恶意软件将退出。读取并设置配置信息后，后门会尝试与恶意C2服务器建立初始通信。如果无法与C2服务器建立成功连接，后门会使用星际文件系统（IPFS）去中心化网络。后门模块支持HTTPS和原始TCP通信方法，并使用特定的用户代理和自定义头进行通信。它还对通信数据进行加密，以确保数据的安全性。后门模块支持多种网络命令，用于执行不同的操作，如执行远程命令、读写文件、更新C2服务器、睡眠/超时值、网络加密密钥等。它还会收集受感染主机的信息，并在执行命令后将输出发送回C2服务器。

参考链接：

https://www.zscaler.com/blogs/security-research/technical-analysis-transferloader

新型DOGE Big Balls勒索软件利用开源工具和自定义脚本发动多阶段攻击

近日，网络安全研究人员发现了一种名为“DOGE Big Balls”的新型复杂勒索软件变种。该勒索软件是现有Fog勒索软件家族的改良版本，其名称源自“政府效率部门”（DOGE）。该勒索软件利用自定义开发的PowerShell脚本和知名的开源工具，通过复杂的多阶段感染链来入侵受害者系统。

“DOGE Big Balls”勒索软件的攻击过程宛如一场精心编排的“技术秀”，其核心在于利用自定义开发的PowerShell脚本和一系列开源工具，构建起一条多阶段的感染链。这条感染链从一个看似普通的MSI安装文件“payload.msi”开始，该文件可能通过网络钓鱼邮件或利用系统漏洞悄然潜入目标系统。一旦执行，它便会触发一个经过base64和XOR加密的PowerShell脚本“wix.ps1”，该脚本不仅会检查系统是否拥有管理员权限，还会通过在Windows启动文件夹中添加名为“EdgeAutoUpdater.lnk”的LNK文件以及创建名为“EdgeAutoUpdater Task”的计划任务，巧妙地在系统中建立持久性机制，确保即使初始感染被中断，恶意软件仍能继续执行。

紧接着，“wix.ps1”脚本会从一个中心URL下载并执行“stage1.ps1”脚本，后者如同指挥官一般，协调后续多个组件的下载与执行。它首先在启动文件夹中创建一个隐藏目录，悄无声息地禁用了Windows Defender，随后通过注册表Run键进一步巩固其在系统中的“立足之地”。此后，“stage1.ps1”脚本如同开启了“购物模式”，陆续下载了包括“cwiper.exe”、“ktool.exe”在内的多个工具，这些工具各司其职，共同推动攻击的深入。随着时间推移，攻击载荷不断演变，最终引入了“DOGE Big Balls”勒索软件二进制文件本身，以及利用如CVE-2015-2291漏洞的Havoc Demon有效载荷，后者通过利用脆弱的驱动程序，进一步增强了勒索软件的持久性和远程访问能力。

在攻击过程中，“DOGE Big Balls”勒索软件通过多种脚本和工具实现了横向移动和持久性。例如，“amsibypass.ps1”脚本通过巧妙地修补Windows反恶意软件扫描接口（AMSI）的“AmsiScanBuffer”函数，成功地让恶意软件在安全软件的“眼皮底下”畅通无阻；而“pivot.ps1”脚本则借助“Invoke-Mimikatz.ps1”进行凭证转储和“Invoke-SMBExec.ps1”进行基于SMB的传播，如同在目标网络中铺设了一条条“秘密通道”，让攻击者能够轻松地在不同系统间穿梭。这些脚本还会收集大量侦察数据，包括公共IP地址、开放端口和密码哈希等，为后续的Pass-The-Hash攻击和在Active Directory环境中的传播提供了“弹药”。

此外，勒索软件还将攻击目标瞄准了域控制器，通过“dcstage1.ps1”和“rubeuspivot.ps1”等脚本，利用Rubeus进行Pass-The-Ticket攻击，并创建如“svcadmin”这样的后门账户，确保攻击者能够长期掌控目标系统。为了进一步增强远程访问能力，勒索软件通过“ztinstall.ps1”安装了ZeroTier工具，并可能通过“webdelivery.ps1”传递Cobalt Strike信标。值得注意的是，勒索软件的攻击动机不仅局限于传统的勒索需求，它还通过“xmrigstart.ps1”脚本部署了加密货币矿工，为攻击者带来了额外的经济收益。而攻击载荷的持续更新，如新增的“addadmins.ps1”用于创建管理员账户和“shwatchdog.ps1”用于进程监控等脚本，更是凸显了这一威胁的动态性和持续性。

参考链接：

https://cybersecuritynews.com/new-doge-big-balls-ransomware-using-open-source-tools-custom-scripts/_vignette