详细内容或原文请订阅后点击阅览
与伊朗关系密切的 APT Dust Spectre 利用新恶意软件瞄准伊拉克官员
与伊朗有关联的组织 Dust Spectre 发起的一项活动针对伊拉克官员,通过网络钓鱼电子邮件传播新的恶意软件系列。 Zscaler ThreatLabz 研究人员将与伊朗有联系的组织“尘埃幽灵”与针对伊拉克政府官员的活动联系起来。威胁行为者在网络钓鱼消息中冒充该国外交部,传播以前未见过的恶意软件,包括 SPLITDROP、TWINTASK、TWINTALK、[...]
来源:Security Affairs _恶意软件与伊朗关系密切的 APT Dust Spectre 利用新恶意软件瞄准伊拉克官员
与伊朗有关联的组织 Dust Spectre 发起的一项活动针对伊拉克官员,通过网络钓鱼电子邮件传播新的恶意软件系列。
Zscaler ThreatLabz 研究人员将与伊朗有联系的组织“尘埃幽灵”与针对伊拉克政府官员的活动联系起来。威胁行为者冒充该国外交部发送网络钓鱼消息,通过多个感染链传播以前未见过的恶意软件,包括 SPLITDROP、TWINTASK、TWINTALK 和 GHOSTFORM。
“2026 年 1 月,Zscaler ThreatLabz 观察到涉嫌与伊朗有联系的威胁行为者针对伊拉克政府官员的活动。”阅读 Zscaler 发布的报告。 “由于该活动与与伊朗关系的 APT 组织相关的工具、技术和程序 (TTP) 以及受害者学方面存在显着重叠,ThreatLabz 评估认为是与伊朗关系的威胁行为者实施了此次行动。ThreatLabz 在内部将该组织追踪为“尘埃幽灵”。”
研究人员分析了针对伊拉克官员的“尘埃幽灵”活动中使用的两个攻击链。
攻击链 1 从一个受密码保护的存档开始,其中包含一个名为 SPLITDROP 的植入程序,伪装成 WinRAR 应用程序。执行后,它会解密并部署两个模块:TWINTASK(从本地文件执行 PowerShell 命令的工作组件)和 TWINTALK(命令与控制 (C2) 协调器)。
“攻击链 1 以名为 mofa-Network-code.rar 的受密码保护的 RAR 存档形式提供。该存档的密码为:92,110-135_118-128。该存档内存在一个伪装成 WinRAR 应用程序的 32 位 .NET 二进制文件,并在端点上启动攻击链。”报告继续。 “这个二进制文件的功能就像一个释放器,ThreatLabz 将其命名为 SPLITDROP,因为它释放了两个我们命名为 TWINTASK 和 TWINTALK 的模块。”
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon
皮尔路易吉·帕格尼尼