【深度解析】伊朗黑客 UNC2428 新战术：假招聘 + GUI 界面投毒 MURKYTOUR 后门直指以色列

Google Mandiant 最新发布的《M-Trends 2025》报告，基于对 2024 年全球威胁活动的深入洞察，揭示了与伊朗有关联的网络间谍组织 UNC2428 的一次典型攻击行动。该行动发生在 2024 年 10 月，针对以色列，其展现出的社会工程学与技术欺骗手段，代表了当前需要重点关注的威胁趋势。

攻击案例：UNC2428 精心设计的陷阱

诱饵与伪装
攻击者 UNC2428 冒充以色列国防承包商 Rafael 发布虚假招聘信息，吸引目标个体。
恶意引导
感兴趣者被导向一个高度模仿 Rafael 官网的钓鱼网站。
恶意软件投递链

关键欺骗点
这个 GUI 界面模拟了合法软件的安装或配置流程。通过让用户进行看似正常的、符合预期的交互（输入信息、点击按钮），攻击者有效地麻痹了用户的警惕心理，使其相信正在运行一个良性程序，从而忽略了潜在的后台恶意活动。

网站诱导用户下载 RafaelConnect.exe，声称是职位申请辅助工具。
该 .exe 文件实为 LONEFLEET (安装器/Installer)。它启动后，并非直接执行恶意代码，而是呈现一个图形用户界面 (GUI)，要求用户填写个人信息和上传简历。
当用户在 GUI 中“提交”信息后，LEAFPILE (加载器/Launcher) 被秘密触发。
LEAFPILE 负责在后台加载并运行 MURKYTOUR (后门/Backdoor)。
最终，MURKYTOUR 在受害者机器上建立持久化访问通道，使攻击者可以远程控制系统。

归属与关联：Mandiant 指出，UNC2428 的活动与另一伊朗背景组织“Black Shadow”（据信隶属伊朗情报与安全部 MOIS）的活动存在重叠。后者以广泛攻击以色列各行业目标著称。

放大镜下：伊朗系 APT 组织 2024 年 TTP 演进趋势

Mandiant 的报告揭示了伊朗相关威胁行为者在 2024 年表现出的若干关键战术演进，这些趋势值得持续关注：

策略一：社会工程学的精进与深度伪装

GUI 伪装执行
如 UNC2428 案例所示，利用带有交互界面的安装器来掩盖恶意代码执行，提升欺骗成功率。
长期信任建立 (Rapport-building)
以 APT42 (Charming Kitten) 为代表，投入大量精力与目标建立长期联系和信任关系 (rapport-building)，之后再进行凭证收割或恶意软件投递。
高仿真凭证钓鱼
APT42 利用 Google Sites、Dropbox 等平台托管高度仿冒的知名服务（Google, Microsoft, Yahoo, Google Meet）登录页面，诱骗用户输入凭证。

策略二：滥用合法基础设施与工具以隐匿行踪

大规模利用 RMM 工具
UNC3313 (与 MuddyWater 关联) 及其分支大量使用多达 9 种合法的远程监控管理 (RMM) 工具。此举旨在绕过应用程序白名单控制，其产生的网络流量也容易混淆在正常的远程管理活动中，极大增加了检测和响应的难度。该组织还分发 JELLYBEAN Dropper 和 CANDYBOX 后门。
借力云基础设施
UNC1549 等组织将 C2 服务器或恶意载荷部署在主流云平台 (AWS, Azure, GCP 等)。由于企业通常信任来自这些大型云服务商的流量，这种做法能有效规避基于域名的封锁，使恶意通信更难被安全设备识别。结合域名仿冒抢注 (Typosquatting) 和域名复用技术，进一步增强隐蔽性。
伪装成合法软件更新/安装包
例如某伊朗组织将 CACTUSPAL 后门伪装成 Palo Alto GlobalProtect VPN 客户端的安装程序。

策略三：多样化与破坏性的恶意载荷

庞大且活跃的武器库
Mandiant 确认了超过 20 种伊朗系行为者使用的专有恶意软件家族，涵盖 Dropper、Downloader、Backdoor 等多种类型。这一数字显示了其武器库的多样性和背后开发团队的活跃程度。
针对性后门
例如 APT34 (OilRig) 使用 DODGYLAFFA 和 SPAREPRIZE 后门攻击伊拉克政府。
破坏性攻击能力
Cyber Toufan 组织则使用了自研的 POKYBLIGHT 擦除器 (Wiper)，意图对目标系统造成严重破坏。

防御需与威胁同步演进

基于对 2024 年活动的观察，伊朗背景的威胁行为者正持续进化其网络攻击手段，以更好地服务于伊朗国家利益。从心理操纵到技术伪装，从滥用合法工具到利用云平台，其 TTP 的复杂性和隐蔽性不断提升。这给防御方带来了严峻挑战，单纯依赖基于签名的检测已远远不够。

防御启示：