伊朗支持的网络攻击与新型恶意软件BellaCiao

关键要点

• 伊朗的国家支持威胁组织Charming Kitten对多个国家的许多机构进行了攻击。
• 新款恶意软件BellaCiao主要攻击暴露在互联网中的Microsoft Exchange Server和Zoho ManageEngine。
• 攻击者会在成功入侵后停用Microsoft Defender以便于后续恶意软件的部署。
• 有关的报告还指出，BellaCiao的一种变种使用Plink工具进行文件上传和命令执行。

最近，来自The Hacker News 的报告指出，美国、欧洲、印度和中东的许多组织受到了伊朗国家赞助的威胁操作——CharmingKitten 的攻击。该组织又被称为APT35、Mint Sandstorm、Educated Manticore、TA453、YellowGaruda及ITG18。他们使用了新的恶意软件BellaCiao ，这是相当有针对性的网络攻击。

根据Bitdefender Labs 的报告，容易受到攻击的Microsoft Exchange Server或ZohoManageEngine实例很可能成为嫌疑目标，以便于BellaCiao的部署。攻击者通常在成功入侵后，停用MicrosoftDefender以获得更高的控制权限。此外，在Charming Kitten的攻击中，下载了两个具备指令处理和凭证提取能力的InternetInformation Services模块。BellaCiao还通过硬编码的指令来促进额外恶意软件的交付。

报告中还提到，BellaCiao的一种变种使用了Plink工具 ，而不是webshell，以实现文件上传、任意文件下载和命令执行。Bitdefender的研究员马丁·祖格克（MartinZugec）表示：“现代攻击的最佳防护措施是实施深度防御架构。”

以下是关于Charming Kitten及其活动的主要信息汇总：

建议 : 确保系统和软件的及时更新，实行多层次防御策略，以降低受到此类攻击的风险。