Mandiant 研究人员报告称,隶属于伊朗情报和安全部 (MOIS) 的伊朗网络部队 UNC1860 已成为中东地区黑客行动的关键访问代理,使用先进的工具和后门进行间谍活动和网络攻击。
谷歌旗下的 Mandiant 公司在 9 月 19 日发布的一份报告中详细介绍了其认定为 UNC1860 的组织的活动。报告重点介绍了该组织的先进工具和隐藏后门,这些工具和后门仍在被伊朗的其他黑客行动所利用。
报告指出,伊朗情报和安全部(MOIS)下属的一个网络部门已成为该国黑客的主要推动者,为中东地区的关键系统,特别是电信和政府部门提供持续访问权限。
Mandiant 补充说,这些组织涉嫌为网络攻击提供了初始访问权限,包括 2023 年底使用 BABYWIPER 恶意软件对以色列的攻击以及 2022 年使用 ROADSWEEP 对阿尔巴尼亚的攻击。虽然 Mandiant 无法证实 UNC1860 是否直接参与其中,但他们发现了旨在支持此类移交操作的软件。
UNC1860 的工具包包含各种实用程序,可实现网络内的初始访问和横向移动。这些工具旨在绕过安全软件并提供隐蔽访问,可用于间谍活动或网络攻击。
Mandiant 将 UNC1860 描述为一个能力极强的威胁行为者,可能支持一系列目标,从间谍活动到直接网络攻击。该公司还报告了 UNC1860 与其他与 MOIS 相关的组织(如 APT34)的合作,后者以入侵约旦、以色列和沙特阿拉伯等国家的政府系统而闻名。最近,APT34 的一次行动被发现针对伊拉克官员。
评论