初始访问代理，UNC1860渗透中东政企为黑客攻击铺路

研究人员指出，在攻击手法和目标方面，UNC1860与其他伊朗黑客组织相似，例如Scarred Manticore、Storm-0861、Shrouded Snooper等， 他们主要针对中东地区的电信公司和政府机构发动攻击。

在去年10月的BabyWiper数据破坏软件攻击行动中，UNC1860被传出负责提供受害组织的访问渠道，现在研究人员掌握了进一步的证据，支持了上述的分工情况。

这些黑客最初锁定在互联网上暴露的服务器，植入名为StayShante的Web Shell，企图获取受害组织的网络环境初始访问权限。

一旦成功，他们就会部署其他恶意程序，如TofuDrv、TofuLoad，以获取进一步的控制权。这些植入的作案工具比一般的后门程序更加隐蔽，因为黑客会试图消除恶意程序对C2基础设施的依赖，使得防守方难以追踪他们的行踪。

研究人员提到，黑客植入的作案工具采用被动连接的方式，不会直接发出访问C2的流量。

黑客对恶意程序下达命令的流量，则通过各种动态来源，如VPN节点、其他受害电脑，甚至是受害组织网络环境的另一个网段，这使得防御方监控网络流量变得更加困难。

其中，TofuDrv、TofuLoad都利用了以前未被发现的输入和输出控制命令进行通信， 从而降低了被端点安全软件EDR发现的机会。

另一个被动运行的后门程序TempleDrop，会滥用伊朗防病毒软件Sheed AV的驱动程序组件， 以避免黑客的作案工具被篡改。

除此之外，这次攻击也发现了TempleLock、RotPipe等工具的踪迹， 以TempleLock为例，它可以用于禁用Windows事件记录并抹除作案痕迹。

此外，无论是Web Shell还是恶意程序，都使用HTTPS加密连接进行通信，研究人员无法从网络流量中得知攻击者下达的命令，或者获取有效的有效载荷。

在UNC1860成功掌握受害组织的网络环境访问渠道后，他们就会通过具有图形操作界面的恶意软件控制工具TemplePlay、ViroGreen， 为接手进行进一步攻击行动的黑客提供远程桌面连接（RDP）访问受害组织网络环境。

根据上述作案工具的发现，研究人员指出，这突显了这些黑客具备对Windows核心组件的逆向工程技能，以及规避侦测的能力，因此他们构成的威胁不容忽视。