伊朗黑客对中东发起名为magic hound的网络间谍行为-尊龙凯时官方旗舰店

近期，安全研究人员发现被称为magic hound的网络间谍行为与伊朗黑客和shamoon 2恶意软件有关。

针对中东的间谍行为

来自palo alto networks的安全专家最近发现了一个与伊朗有关的最新网络间谍行为，攻击目标主要是一些中东组织。这个被称为magic hound网络间谍行为可以追溯到2016年中期，入侵者对中东表现出了极大的兴趣，被攻击的能源、政府以及科技公司都恰巧位于沙特阿拉伯。

在入侵过程中攻击者使用了多种多样的自定义工具以及被称为pupy的开源跨平台远程访问工具（rat）。

戴尔旗下安全公司secureworks的分析报告中提到：“据开发人员所说，pupyrat是一个主要用python语言写的多平台（windows、linux、osx、android）、多功能的post-exploitation工具。ctu（secureworks的威胁应对部门counter threat unit ）经分析证实pupyrat会给受害者系统造成极大威胁，入侵者可获取完全访问用户系统。”
pupyrat所带来的威胁包括不同类型的自定义工具，其中有droppers、 downloaders、可执行载入程序（executable loaders）、文件载入程序（document loaders）和irc（internet really chat） bots。

palo alto networks报告中这样分析道：“从2016年中开始，我们发现了针对中东的持续性攻击行为，我们将此事件命名为magic hound。基于被攻击的组织集中在能源、政府和科技领域，入侵的目标看起来更像是一种间谍行为。”

“联系分析基础设施和工具也揭露出了magic hound和敌对组织rocket kitten之前的一些潜在联系，同样还牵扯到过去被称为 newscasters的间谍行为。rocket kitten又名operation saffron rose、ajax security team或operation woolen-goldfish。”

与shamoon 2的关系

magic hound背后的入侵者先在word和excel文件中嵌入恶意宏，然后再利用powershell下载或执行附加工具。用来作诱饵的文件会被伪装成节日祝福卡、工作机会或沙特阿拉伯商业部或卫生部发出的政府官方文件。

在检测过程中，研究人员也有意外之喜，他们发现magic hound使用的一些域恰巧和ibm x-force的专家在研究shamoon 2攻击链过程中所发现的域一样。

palo alto networks的专家分析，magic hound中利用的irc bot中的恶意软件片段与之前newscaster（又叫做charming kitten和newsbeef）事件中所用的十分类似。newscaster是伊朗黑客使用多个虚构出来的社交媒体账号（包括facebook、twitter、linkedin和youtube等）试图窃取超过2000个账号信息的间谍活动，此举针对美国一些政府高官、以色列以及其他一些国家的政府相关人员。

伊朗的黑客最近也不是一般的活跃，无论是charming kitten还是rocket kitten，最近还在分析某个会泄露mac系统电脑数据的macdownloader中被发现。

关于ibm发布的shamoon恶意软件的攻击流程细节，请关注freebuf小编kuma的