与伊朗有关的黑客利用 MURKYTOUR 恶意软件通过虚假招聘活动攻击以色列

据观察，与伊朗有关联的威胁组织 UNC2428在 2024 年 10 月针对以色列开展了以工作为主题的社会工程活动，部署名为MURKYTOUR的后门。

谷歌旗下的Mandiant安全公司称，UNC2428 是一个与伊朗勾结的威胁组织，从事与网络间谍相关的活动。据称，该入侵套件通过“复杂的欺骗技术链”传播恶意软件。

该公司在其 2025 年年度 M-Trends 报告中表示： “UNC2428 的社会工程活动以个人为目标，伪装成以色列国防承包商拉斐尔的招聘机会。”

表示有兴趣的个人被重定向到一个冒充拉斐尔的网站，在那里他们被要求下载一个工具来协助申请工作。

该工具（“RafaelConnect.exe”）是一个名为 LONEFLEET 的安装程序，一旦启动，就会向受害者显示图形用户界面（GUI），以便受害者输入他们的个人信息并提交简历。

一旦提交，MURKYTOUR 后门就会通过名为 LEAFPILE 的启动器作为后台进程启动，从而授予攻击者对受感染机器的持续访问权限。

Mandiant 表示：“Iran-nexus 威胁组织利用图形用户界面 (GUI)，将恶意软件的执行和安装伪装成合法的应用程序或软件。添加一个 GUI，向用户呈现一个典型的安装程序，并配置为模仿所用诱饵的形式和功能，可以减少目标用户的怀疑。”

此次活动与以色列国家网络局归咎于伊朗威胁组织黑影 (Black Shadow) 的活动有重叠。

据评估，该黑客组织代表伊朗情报和安全部 (MOIS) 开展活动，以针对以色列的广泛行业垂直领域而闻名，包括学术、旅游、通信、金融、交通、医疗保健、政府和技术。

根据 Mandiant 的数据，UNC2428 是众多在 2024 年将目光瞄准以色列的伊朗APT组织之一。其中一个突出的组织是Cyber Toufan，它使用专有的 POKYBLIGHT 擦除器瞄准以色列用户。

技术报告：

https://services.google.com/fh/files/misc/m-trends-2025-en.pdf

新闻链接：

https://thehackernews.com/2025/04/iran-linked-hackers-target-israel-with.html