找回密码
 立即注册
搜索

伊朗黑客通过网络钓鱼和 SEO 投毒部署 MiniFast 和 MiniJunk V2

作者:admin | 时间:2026-6-1 18:11:44 | 阅读:79| 显示全部楼层

马上注册,让你轻松玩转程序园

您需要 登录 才可以下载或查看,没有账号?立即注册

x

Check Point 在上周发布的分析报告中指出,被称为 Nimbus Manticore(又名 Screening Serpens 和 UNC1549)的伊朗国家支持威胁行为者,在2026年2月底美以联合军事行动针对伊朗后,发起了一场新的活动,使用诱饵冒充美国、欧洲和中东地区航空和软件行业的组织。

该活动除了采用此前未记录的技术和增强能力外,其特点还在于使用了一个代号为 MiniFast(又名 MiniUpdate)的新后门,该后门似乎是在人工智能(AI)的帮助下开发的。

Nimbus Manticore 隶属于伊朗伊斯兰革命卫队(IRGC),以使用职业主题的网络钓鱼诱饵针对国防、航空和电信部门而闻名。这些活动也被代号为 Iranian Dream Job,原因是其战术与朝鲜黑客策划的 Operation Dream Job 具有相似性。

与该威胁行为者关联的最近攻击链显示出战术转变,证据包括:在 2026 年 2 月使用 AppDomain 劫持投递 MiniJunk,随后在 3 月部署了 MiniFast 后门,并在 4 月依赖 SEO 投毒分发 Oracle SQL Developer 软件的木马版本。

在战争开始前观察到的第一波活动中,沙特阿拉伯和澳大利亚软件及航空行业的员工成为目标,攻击者以虚假的职业机会诱骗他们下载托管在 OnlyOffice 上的 ZIP 压缩包。在 ZIP 文件中运行一个 benign 可执行文件会利用称为 AppDomain 劫持的技术启动恶意 MiniJunk DLL。

研究发现,2026 年 3 月的活动或多或少遵循相同的方法,只是这次威胁行为者还使用了被植入木马的 Zoom 安装程序作为攻击序列的一部分,启动二进制文件后,该二进制文件再利用 AppDomain 劫持部署 MiniFast。怀疑该活动是使用虚假会议邀请的网络钓鱼活动的一部分。

有迹象表明,Nimbus Manticore 使用 AI 辅助开发来帮助创建 MiniFast,这包括:过度的错误处理和防御性编程逻辑、重复的函数和方法命名模式(使用描述性或冗长标识符)、多个详细的错误报告字符串和调试风格的状态消息,以及尽管恶意软件整体简单但仍采用模块化代码组织。

Check Point 表示,上个月还观察到一个冒充 SQL Developer 下载页面的虚假网站,通过 SEO 投毒诱使访问该页面的访客下载武器化安装程序,该安装程序会投递 MiniFast。这是该威胁行为者首次采用这种方法进行恶意软件投递。

该公司表示:“这种恶意软件投递方法与 Nimbus Manticore 通常的感染链不同,后者通常依赖职业主题的网络钓鱼诱饵。在这次活动中,攻击者滥用搜索引擎优化技术,注册了数十个指向虚假域名 getsqldeveloper[.]com 的域名,这可能是试图通过基于链接的信誉信号提高网站的可见性。”

MiniFast 被描述为一个功能完备的后门,设计用于长期持久化和远程命令执行。它通过 HTTP 请求与远程服务器通信,获取任务、上传命令执行结果、渗出文件并从服务器下载额外载荷。在进入任务循环之前,该恶意软件还会向操作员发送包含基本系统信息的信标。

该后门支持多种命令,支持:文件操作、目录列表、进程枚举、通过“cmd.exe”执行命令、使用 PID 终止进程、DLL 加载、创建 ZIP 压缩包、通过计划任务持久化,以及通过“runas”命令提升权限。

该后门还支持更新轮询间隔和应用于信标间隔的抖动值,以随机化从服务器检索命令的频率。

Check Point Research 威胁情报部门经理 Sergey Shykevich 在分享给 The Hacker News 的声明中表示:“值得注意的是,该组织的野心远远超出了在中东进行针对性间谍活动。我们发现了强有力的指标表明,Nimbus Manticore 使用 AI 工具更快地编写恶意软件。”

“他们在冲突期间、行动正在积极进行的时候构建并部署了一个全新的后门。我们还追踪到了第三波活动,使用了完全不同的策略:SEO 投毒。”

“他们构建了一个虚假的 SQL Developer 下载页面,并将其推到 Bing 和 DuckDuckGo 的顶部——没有鱼叉式网络钓鱼,没有虚假工作机会,只是等待开发者搜索常用软件。当你将 2 月到 4 月的三波活动放在一起看,他们没有停顿。冲突并没有拖慢他们的脚步,反而加速了他们的行动。”

此次披露恰逢 Palo Alto Networks Unit 42 发布一份关于该威胁行为者使用 MiniUpdate 和更新版本 MiniJunk(称为 MiniJunk V2)针对美国、以色列、阿联酋和中东地区实体的报告。在这个精心设计的间谍计划中,目标包括一家美国石油天然气公司。

研究结果表明,伊朗威胁行为者正在借鉴朝鲜的策略,通过提供诱人的工作机会吸引目标组织的员工,从而渗透感兴趣的组织。

Unit 42 研究人员表示:“自 2026 年 2 月开始的地区冲突以来,该组织增加了行动,在多达五个不同国家的实体内部署了两个家族的 RAT 变体。”

“最近这些活动的一个显著特点是攻击者诱饵的深度个性化。通过利用量身定制的社会工程学战术,包括虚假职位招聘和伪造的视频会议邀请,攻击者引诱受害者启动感染链,从而使他们的组织暴露于进一步的利用。”

此次发展之际,伊朗黑客被怀疑对美国多个州加油站的油罐液位变送器发动了一系列攻击。虽然这些事件没有造成物理损坏或伤害,但引发了人们的担忧:这种访问可能导致天然气泄漏未被检测到,或给关键基础设施带来其他风险。

CNN 援引未具名消息来源报道:“负责攻击的黑客利用了在线且没有密码保护的自动油罐液位 gauge(ATG)系统,在某些情况下允许他们修改油罐的显示读数,但不会修改实际燃油液位。”

hacking-2903156_%e5%8f%af%e7%94%a8.jpg
您需要登录后才可以回帖 登录 | 立即注册
黑客现已利用关键 Oracle E-Business 漏洞发起攻击
黑客现已利用关键 Oracle E-Business 漏洞发起攻击
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应用程序中的一个关键漏
关键 SimpleHelp 漏洞被利用以部署新型窃密恶意软件
关键 SimpleHelp 漏洞被利用以部署新型窃密恶意软件
黑客正在利用 SimpleHelp 中一个最近披露的关键漏洞(CVE-2026-48558)来部署 Djinn Stealer,这是一种此前
美国查封数百个 FIFA 世界杯非法流媒体域名
美国查封数百个 FIFA 世界杯非法流媒体域名
美国司法部刑事局查封了近 400 个用于非法流媒体播放 FIFA 世界杯比赛的网站域名。这些网站向访问者提供 20
Microsoft 将 Mastra AI 供应链攻击归因于朝鲜黑客
Microsoft 将 Mastra AI 供应链攻击归因于朝鲜黑客
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜黑客组织 Sapphire Sle
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案错误地标记为恶意软件
日本能源公司丢失存储有 1090 万客户数据的硬盘
日本能源公司丢失存储有 1090 万客户数据的硬盘
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一份官方公告中,该公司
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属机构运营的,负责实施
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针对美国的律师事务所和
speed index how to fix in hindi
Seeking forward, the way forward for research lies inside the palms of rapid
皇家山大学确认遭入侵,黑客声称对攻击负责
卡尔加里的皇家山大学表示,黑客在入侵该校网络后,从其文件存储系统中窃取并删除了数
严重漏洞暴露 GitHub Agentic Workflows 面
Noma Labs 警告称,GitHub Agentic Workflows 中存在一个严重的提示注入漏洞,可能允
Google Dialogflow CX 漏洞可让攻击者劫持
Varonis 报告称,Google Cloud 的 Dialogflow CX 服务中存在一个漏洞,可能允许攻击者
Оправы Медицинские Дл
Чтобы выбрать качественные солнцезащитные
Citrix 修复六个 NetScaler 漏洞,涉及文件
Citrix 周二发布了安全更新,以解决 NetScaler ADC 和 NetScaler Gateway 中的多个漏
"DirtyClone" Linux 内核漏洞可获取 Root
JFrog 发布了针对近期一个高严重性 Linux 内核漏洞的技术细节和概念验证代码,该漏洞
日产披露与 Oracle 零日攻击相关的员工数据
日产汽车警告称,在威胁行为者利用 Oracle PeopleSoft 漏洞进行与此前与 ShinyHunters
黑客现已利用关键 Oracle E-Business 漏洞
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应
Microsoft 将 Mastra AI 供应链攻击归因于
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜