- A+
该运动的目标是参与对伊朗的经济和军事制裁的政治人物,以及各种记者和人权活动家。
一系列政治和民间社会目标在APT攻击中受到抨击,该攻击被称为迷人的小猫归来。 该广告系列已经过量身定制,可以绕过双因素身份验证,以便破坏电子邮件帐户并开始监控通信。
根据Certfa的研究人员的说法,伊朗国家支持的黑客发起了一场鱼叉式网络钓鱼活动,旨在渗透参与对伊朗的经济和军事制裁的政治家的电子邮件帐户,以及各种记者和人权活动家。
据Certfa称,攻击者通过电子邮件,社交媒体和消息通信来攻击目标,研究人员表示,目标是持续监控。 主要策略是从合法的电子邮件地址发送虚假警报,例如notifications.mailservices@gmail [。] com,noreply.customermails @ gmail [。] com,customer] email-delivery [。] info,声称未经授权的个人拥有试图访问他们的帐户并敦促目标“登录”以“立即审查和限制可疑访问”。
研究人员表示,攻击者正在使用谷歌Site3创建网络钓鱼页面,这使黑客能够展示一个虚假(但非常有说服力)的Google云端硬盘页面,甚至还有浏览器地址栏中的google.com。
“通过创建具有相同设计和外观的Google Drive文件共享页面的网站,黑客假装与用户共享文件,他们应该下载并在他们的设备上运行它,”研究人员上周在一篇帖子中说。 “他们使用被黑的Twitter,Facebook和Telegram帐户发送这些链接并定位新用户。 事实是,没有任何文件,黑客使用此页面将他们的目标指向虚假的谷歌登录页面。“
阻止双因素身份验证
在虚假页面上,要求用户输入他们的凭证详细信息,攻击者可以实时验证这些详细信息。 网络钓鱼电子邮件正文中嵌入了一个单独的隐藏跟踪图像,用于在攻击者的目标打开电子邮件时通知他们。
“这个技巧可以帮助黑客在目标打开电子邮件并点击网络钓鱼链接后立即采取行动,”Certfa的研究人员解释说。 包括双因素认证。“
当受害者将他或她的用户名和密码输入虚假登录页面时,攻击者将这些相同的凭据输入真实的登录页面。 如果帐户受双因素身份验证保护,则攻击者会将目标重定向到可以输入一次性密码的新页面。
“换句话说,他们会在自己的服务器上实时检查受害者的用户名和密码,即使启用了双重因素身份验证,例如短信,验证器应用或单击登录,他们也可以欺骗目标并窃取该信息“证据研究所的研究人员说。
这不是一个万能的竞选活动,攻击者正在采用先进的社会工程技术来提高他们的成功率。
研究人员解释说:“黑客在网络钓鱼攻击之前收集了有关其目标的信息。” “黑客根据目标水平的网络知识,他们的联系人,活动,工作时间和地理位置,为每个目标设计具体的计划。”
有趣的是,黑客在其网络钓鱼电子邮件的正文中使用图片而非文字,以绕过谷歌的安全和反网络钓鱼系统。
一旦掌握了目标的凭据,黑客就会通过他们的电子邮件实时监控受害者的通信。 他们也不会更改受害者帐户的密码,以保持未被发现。
伊朗APT归因
该活动于2018年10月初首次被发现,目标是美国金融机构,然后将其网络扩大到政治和民间社会的目标。 对该事件的调查发现,该活动与之前被一群被ClearSky Cyber Security称为迷人小猫的黑客联系在一起,研究人员认为这些黑客被伊朗政府支持,并与伊斯兰革命卫队关系密切。军团(IRGC)。
根据2017年12月的ClearSky报告 ,Charming Kitten自2014年左右开始运营,已经建立了一个“巨大的间谍设备”,包括至少85个IP地址,240个恶意域,数百个主机和多个假实体。 该组织能够进行公司冒充,鱼叉式网络钓鱼和水坑攻击。 他们还使用一系列自定义恶意软件(似乎有时会与其他伊朗APT小组共享资源, 例如APT33 )。 多年来,成千上万的人成为攻击目标。
除了10月活动中发现的域名外,Certfa团队指向迷人小猫归属的其他方面包括攻击的时间和目标。
研究人员表示,“网络钓鱼攻击是在伊朗黑客中窃取数据和黑客攻击的最常用方法,但关于此次活动的最重要的事实是它的时间安排。” “这场运动在2018年11月4日前几周发布,这是美国对伊朗实施新制裁的时候。”
此外,该运动还倾向于渗透非伊朗政治人物和致力于对伊朗实施经济和军事制裁的当局的账户。
“伊朗政府支持的黑客根据伊朗政府的政策和国际利益以及伊朗希望间接影响的地方选择目标,”研究小组表示。
