安全公司Mandiant揭露了名为UNC1860的伊朗黑客组织，并指出这些黑客疑似隶属于伊朗情报与国家安全部（MOIS）。根据他们观察到的黑客专属的作案工具，推测这群犯罪分子可能专门为其他网络犯罪组织提供受害组织的初始入侵途径（Initial Access Broker，IAB）。

　　初始访问代理(Initial Access Broker，简称“IAB”)。IAB是指将企业网络访问权出售给潜在买家的一类网络犯罪分子，他们通过数据泄露市场、论坛或隐蔽的消息应用程序频道和聊天组来兜售。然而IAB不一定执行后续的破坏性活动，比如数据泄露、加密和删除。通常，买方决定如何滥用访问权：选择窃取商业机密、部署勒索软件，或是安装间谍软件、泄露数据。

　　研究人员指出，在攻击手法和目标方面，UNC1860与其他伊朗黑客组织相似，例如Scarred Manticore、Storm-0861、Shrouded Snooper等，他们主要针对中东地区的电信公司和政府机构发动攻击。

　　在去年10月的BabyWiper数据破坏软件攻击行动中，UNC1860被传出负责提供受害组织的访问渠道，现在研究人员掌握了进一步的证据，支持了上述的分工情况。

　　这些黑客最初锁定在互联网上暴露的服务器，植入名为StayShante的Web Shell，企图获取受害组织的网络环境初始访问权限。

　　一旦成功，他们就会部署其他恶意程序，如TofuDrv、TofuLoad，以获取进一步的控制权。这些植入的作案工具比一般的后门程序更加隐蔽，因为黑客会试图消除恶意程序对C2基础设施的依赖，使得防守方难以追踪他们的行踪。

　　黑客对恶意程序下达命令的流量，则通过各种动态来源，如VPN节点、其他受害电脑，甚至是受害组织网络环境的另一个网段，这使得防御方监控网络流量变得更加困难。

　　其中，TofuDrv、TofuLoad都利用了以前未被发现的输入和输出控制命令进行通信，从而降低了被端点安全软件EDR发现的机会。

　　另一个被动运行的后门程序TempleDrop，会滥用伊朗防病毒软件Sheed AV的驱动程序组件，以避免黑客的作案工具被篡改。

　　除此之外，这次攻击也发现了TempleLock钱盾VPN按需求连接、RotPipe等工具的踪迹，以TempleLock为例，它可以用于禁用Windows事件记录并抹除作案痕迹。

　　此外，无论是Web Shell还是恶意程序，都使用HTTPS加密连接进行通信，研究人员无法从网络流量中得知攻击者下达的命令，或者获取有效的有效载荷。

　　在UNC1860成功掌握受害组织的网络环境访问渠道后，他们就会通过具有图形操作界面的恶意软件控制工具TemplePlay、ViroGreen，为接手进行进一步攻击行动的黑客提供远程桌面连接（RDP）访问受害组织网络环境。

　　根据上述作案工具的发现，研究人员指出，这突显了这些黑客具备对Windows核心组件的逆向工程技能，以及规避侦测的能力，因此他们构成的威胁不容忽视。