2025年3月4日，据Proofpoint的研究人员警告称，伊朗黑客组织UNK_CraftyCamel使用多语言（polyglot）文件隐藏新型后门程序，针对阿联酋航空、卫星通信和交通行业发起鱼叉式钓鱼攻击。

攻击活动详情

2024年10月下旬，UNK_CraftyCamel利用印度电子公司（INDIC Electronics）泄露的电子邮件账户发送恶意邮件。邮件包含指向攻击者控制的仿冒域名indicelectronics.net的URL，原合法域名为INDIC electronics。

攻击者“通过伪装成B2B销售产品的方式，利用被入侵发件人与目标之间的信任关系，诱导目标点击邮件中的恶意链接”，邮件内容包括订单表格和公司背景介绍。其中以.com结尾的URL看似指向合法的INDIC Electronics主页，但实际上指向一个名为“indicelectronics.net”的虚假域名。恶意链接最终指向一个ZIP压缩包，内含一个XLS文件（Excel电子表格）和两个PDF文件。

经调查，Proofpoint确认XLS文件实际上是一个使用双扩展名的LNK文件，而两个PDF文件都是多语言文件；第一个PDF文件附加了HTA脚本，第二个PDF文件附加了ZIP文档。

攻击链中，通过LNK文件启动cmd.exe，调用mshta.exe执行隐藏在第一个PDF文件中的HTA脚本，进而加载第二个PDF文件。隐藏在第二个PDF中的恶意代码会向Windows注册表写入URL文件以实现持久化驻留，随后执行经过XOR加密的JPEG文件，该文件解密后生成名为yourdllfinal.dll的DLL载荷，即Sosano后门程序。

Sosano后门程序

Sosano是基于Go语言编写的轻量级后门程序，其作者通过嵌入未使用的库文件故意增大文件体积（约12MB），以混淆恶意代码并增加分析难度。后门运行后首先进行随机时长的睡眠以规避沙箱检测，睡眠结束后连接C2服务器。该后门程序支持的命令如下：

攻击者UNK_CraftyCamel

目前，这个被指定为UNK_CraftyCamel的组织与Proofpoint已知APT组织均无重叠。其攻击特征（如少量定向收件人、高度定制化诱饵、多重混淆手法）表明其有明确的授权，分析显示，UNK_CraftyCamel可能与伊朗存在关联。Proofpoint已确定APT33和APT35中的多个战术、技术和程序（TTP）与疑似伊斯兰革命卫队（IRGC）联盟的活动相似。这两个团体历来都专注于针对航空航天联盟组织。此外，APT33和UNK_CraftyCamel都在阿联酋的高度针对性活动中使用了HTA文件；APT35和UNK_CraftyCamel都倾向于通过B2B优惠来接近目标，其次都是针对同一家公司的工程师。尽管存在这些相似之处，Proofpoint仍评估UNK_CraftyCamel是独立于APT33和APT35的新兴威胁组织。

攻击的检测时机

恶意软件感染链中存在以下检测机会：

1、从新建或解压目录中执行LNK文件；

2、注册表运行项中出现URL文件；

3、URL文件启动非浏览器程序；

4、可执行文件从用户目录访问JPG文件。

引用链接

[1]https://www.proofpoint.com/us/blog/threat-insight/call-it-what-you-want-threat-actor-delivers-highly-targeted-multistage-polyglot

[2]https://www.bleepingcomputer.com/news/security/new-polyglot-malware-hits-

aviation-satellite-communication-firms/