伊朗网络间谍组织“复制猫（CopyKittens）”尽管仅拥有中等水平的相关黑客技能，但自2013披来已经成功渗透了相当可观的数据。

半瓶水也能“响叮当”

事实上，网络攻击组织并不一定需要拥有极高的技术水平才能给敌对一方施以巨大压力。有时候，不成熟但持续存在的威胁行为同样能够收到奇效。

根据本周由以色列ClearSky网络安全公司与Trend Micro公司联合发布的报告表示，相当一部分国家支持型网络间谍行为并没有显示出显著的高复杂度。与伊朗有所关联的网络间谍组织复制猫自2013年以来仍然设法从以色列、土耳其、沙特阿拉伯、约旦乃至美国的军方及政府机构、学术组织、市政当局以及IT企业当中成功窃取到大量数据。

在过去几年当中，“复制猫”曾经先后使用数十个域名，其中大部分假冒微软、谷歌、Amazon、Facebook以及甲骨文等企业，旨在进行恶意软件交付、托管恶意站点以及进行命令与控制操作等。

尽管显然存在资源受限问题，但“复制猫”还是设法入侵了一部分在线新闻媒体与普通网站，而后利用其实施水坑式攻击。

ClearSky公司威胁情报负责人伊雅·瑟拉表示，“他们在网络间谍组织当中处于较低水平线，且未使用零日漏洞，他们自主开发的工具在多个层面都要逊于其它同类恶意组织。”

总体而言，该组织的战术、技术与程序（TTP），主要包括恶意邮件附件、钓鱼攻击、Web应用程序攻击，这些并无亮眼之处，而且直到2016年开始才着手利用水坑式攻击。

然而，他们获得的持续成功证明，技术水平相对较低但坚持不懈的威胁方仍然能够成功完成目标。

复制猫的攻击方式分析

瑟拉指出，“被伊朗设为潜在目标的部门及国家确实面临着安全风险”，且应充分了解该恶意组织的TTP。

举例来说，复制猫倾向于通过IT供应链中的安全弱点对组织机构网络进行破坏。另外，其亦倾向于实施大量基于DNS的数据渗透及命令控制，这意味着该恶意集团的潜在目标有必要对自身DNS基础设施进行监控。瑟拉同时强调称，复制猫方面同样经常利用社交媒体渠道（例如伪造的Facebook个人资料）接近并入侵目标机构。

关于“复制猫“有三份详细报告

本周发布的报告是ClearSky公司针对复制猫组织发布的第三份相关分析结论。这份全新报告中包含有与该组织相关的一系列最新活动细节、新近开发的恶意软件相关说明、以及目前正在运行且被复制猫用于进行恶意软件交付及攻击的一份包含数十个新域名的清单。

在本周ClearSky与Trend Micro联合发布的报告中，我们看到其根据新近开发的恶意软件样本发现一项.NET后门，负责为攻击者提供在目标系统之上下载并执行恶意软件的方式，同时搭配一款可在已入侵网络当中横向移动并窃取凭证信息的工具。VirusTotal内的反病毒工具目前无法正常识别该组织开发出的部分新工具。

“复制猫”组织此前曾经用于入侵网络的多款工具都有着合法的技术背景。举例来说，复制猫通常会利用Cobalt Strike这款商业软件工具的试用版本在目标网络当中搜索漏洞并进行渗透。该组织曾经使用的其它类似工具还包括Metasploit、Mimikatz以及用于检测可入侵Web服务器的Havij等软件。

其攻击目的较为单纯的支持伊朗政府

瑟拉指出，“看起来他们的目标应该是尽可能多地收集目标机构的信息与数据。他们不分青红皂白地渗透大量文件与电子表格，具体包括个人资料文档、配置文件以及数据库。”

而从恶意活动的范围与持续时间来看，复制猫无疑属于民族国家支持型间谍组织。该恶意组织似乎并没有受到经济利益的驱动，但其行动与伊朗以及该国利益存在多重关联再一次证明了国家为其提供的强大支持。

关于三分“复制猫”的报告，请戳！