疑似伊朗资助APT35组织伪造招聘网站攻击航空航天和半导体行业

    我们近期发现APT35（也称为Magic Hound、Cobalt Illusion、Charming Kitten）这一由伊朗资助、疑似与伊斯兰革命卫队（IRGC）有关联的威胁组织，主要在中东地区活动，历史可追溯至2014年。该组织主要针对能源、政府和技术部门，攻击目标遍及中东、美国及其他地区。最近，我们检测到该组织利用伪造网站进行攻击活动，并对此进行了深入分析。分析结果显示，攻击活动主要涉及航空航天和半导体行业，区域分布包括美国、泰国、阿联酋、以色列等。APT35利用伪造的招聘网站和企业网站托管白名单和黑名单组件，通过网站访问或VPN访问诱使目标下载并执行恶意程序。在攻击过程中，APT35还利用了合法的互联网资源，如OneDrive、Google Cloud和GitHub。通过分析相关样本、IP和域名，我们提取了多个相关的IOCs用于威胁情报检测。我们的威胁检测平台（TDP）、威胁情报管理平台（TIP）、威胁情报云API、云沙箱S、沙箱分析平台OneSandbox、互联网安全接入服务（OneDNS）、威胁防御系统（OneSIG）和终端安全管理平台（OneSEC）均支持检测和保护此次攻击事件。

原文链接:

https://threatbook.io/blog/id/1095