伊朗间谍针对沙特发动“神奇猎犬”攻击

跟伊朗且跟最近Shammon 2攻击有关联的间谍组织针对多个中东地区尤其是沙特阿拉伯的组织机构发动攻击。

一直在监控这些攻击活动的Palo Alto公司研究人员指出，攻击至少可追溯至2016年年中。攻击行动被称作“神奇猎犬 (Magic Hound)”，攻击目标是位于沙特阿拉伯或在沙特阿拉伯有利益的能源、政府和技术组织机构。

“神奇猎犬”的攻击者使用了一系列自定义工具以及一款开源跨平台远程访问工具Pupy。虽然研究人员并未将攻击归罪于任何国家，但SecureWorks公司的研究人员分析攻击后认为跟他们此前追踪的COBALT GYPSY攻击者有关联，并坚信COBALT GYPSY跟伊朗政府有关联。

“神奇猎犬”攻击首先会通过特别编制的启动了宏的Word和Excel文档来获取额外工具。恶意文件似乎是来自沙特阿拉伯卫生部和商务部的假日问候卡片、工作邀约和官方政府文档。

攻击者使用的自定义工具包括病毒释放器、病毒下载器、可执行加载器、文档加载器和IRC僵尸。他们传播的其中一个有效负载是基于Python的Pupy RAT。

值得注意的是，攻击中所使用的某些域名和Pupy RAT连接是由IBM X-Force研究人员在试图确定近期Shamoon 2攻击中的最初入口点时发现的。而包括启动宏的文档和PowerShell的首个攻击向量也类似。

Palo Alto已发现了“神奇猎犬”攻击和伊朗威胁组织Rocket Kitten之间的关联，后者主要针对位于中东和北约国家的组织机构发动攻击。此外，攻击中使用的IRC僵尸也跟Newscaster即Charming Kitten和NewsBeef恶意软件使用的类似。这款恶意软件曾被伊朗攻击者用于攻击位于美国、以色列和其他国家的个人。

Charming Kitten和Rocket Kitten组织最近还在分析MacDownloader时被提及，后者是伊朗攻击者用来从Mac电脑中窃取数据使用的恶意软件。