商傳媒|簡明心/綜合外電報導
網路安全公司派拓網路(Palo Alto Networks)旗下的資安研究部門 Unit 42 近日揭露,一個與伊朗有關的進階持續性威脅(APT)駭客組織 Screening Serpens(又稱 UNC1549、Smoke Sandstorm 和 Iranian Dream Job),於今年2月中旬至4月期間,鎖定美國、以色列及阿拉伯聯合大公國等實體,發動了系列網路間諜攻擊。
根據《The Jerusalem Post》報導,Screening Serpens 組織的行動與伊朗情報目標一致,其攻擊時間點與中東地區自2月28日開始的區域衝突,以及「咆哮獅行動」(Operation Roaring Lion)密切相關。除了美國、以色列和阿拉伯聯合大公國,駭客還可能鎖定中東地區另外兩個實體。
Unit 42 的研究人員在攻擊行動期間,發現了六種新型遠端存取木馬(RAT)變種,並將其歸類為 MiniUpdate 和 MiniJunk V2 兩個新惡意軟體家族。這些惡意軟體用於平行的網路間諜行動,顯示出兩波協調性網路攻擊,其中至少一個變種是經過精確定時編譯和部署的。該組織採用名為 AppDomainManager 劫持的技術,透過操縱 .NET 應用程式的初始化階段,利用合法的組態檔禁用安全機制,使得受害者暴露於多功能的遠端存取木馬攻擊之下。
Screening Serpens 的主要攻擊手段是高度客製化的社群工程,通常偽造招聘訊息,冒充知名品牌和招聘平台,以引誘科技業專業人士。例如,在某次攻擊中,駭客利用偽造的工作文件和一個「招聘入口網站」的壓縮檔,誘騙技術人員啟動感染鏈。在另一次鎖定以色列實體的攻擊中,惡意軟體則偽裝成流行的視訊會議平台安裝程式,以壓縮檔形式傳遞。
Unit 42 指出,Screening Serpens 組織自2022年以來一直保持活躍,其技術能力和營運彈性持續增強。儘管過去主要集中於中東地區目標,但近期已擴展至其他區域。派拓網路警告,截至今年4月,Screening Serpens 的活動並無減緩跡象,且持續發動具適應性的全球網路攻擊行動,因此各組織應預期未來會有更多嘗試性攻擊,並強化防禦措施。
