首页 >> 网络安全 >>极客新闻 >> 伊朗黑客把记者当做新的网络钓鱼目标
详细内容

伊朗黑客把记者当做新的网络钓鱼目标

Web安全漏洞可利用总结据Certfa Lab报道,与伊朗有联系的威胁组织“迷人的小猫”一直在针对旨在窃取电子邮件帐户凭据的新运动中,针对记者,政治和人权活动家。


该对手也被称为APT35,Ajax安全团队,NewsBeef,Newscaster和Phosphorus,自2011年以来一直很活跃,其目标受众是中东的记者和活动家,美国的组织以及英国的实体,以色列,伊拉克和沙特阿拉伯。


Certfa Lab说,这种新近详细的网络钓鱼攻击与先前观察到的针对美国总统候选人,政府官员,媒体目标以及著名的移居伊朗的伊朗人的活动有关,黑客在这些活动中采用了更新的鱼叉式网络钓鱼技术。  


迷人小猫的新的活动表明黑客组织继续致力于私人和政府机构,智库,学者,组织有关系的巴哈教派和其他来自欧洲,美国和沙特阿拉伯,Certfa实验室注意到  在博客文章。


作为竞选活动的一部分,威胁演员创建了一个假冒帐户,以冒充《纽约时报》记者Farnaz Fassihi(前《华尔街日报》(WSJ)记者),向受害者发送虚假的采访邀请,并诱使他们访问钓鱼网站。 


网络钓鱼电子邮件的脚注(社交媒体链接,《华尔街日报》和道琼斯网站)中的URL缩短了,从而使黑客可以在将受害者的设备(IP地址,操作系统和浏览器)收集到基本信息的同时,将受害者引导到合法站点。 


接下来,攻击者将链接发送到包含采访问题的文件,该文件存放在Google协作平台上,以避免引起怀疑并逃避垃圾邮件的检测。然后,从Google站点页面将受害者带到两步检查站点的网上诱骗页面,在该页面中要求他们提供登录凭据,包括两要素身份验证(2FA)代码。 


在这些攻击中,威胁行动者还使用了pdfReader.exe,这是一个简单的后门,可通过修改后的Windows防火墙和注册表设置实现持久性。旨在收集受害者设备数据的恶意软件显示了其开发人员与活动的运营商之间的密切关系。 


对这些攻击中使用的网络钓鱼网站的分析显示,以前使用过与其他迷人的小猫网络钓鱼攻击相关联的服务器。管理和发送HTTP请求的方法进一步证明了Charming Kitten在该操作背后。 


“迷人的小猫进行的这一系列新的网络钓鱼攻击与从他们的小组中看到的先前活动是一致的。例如,我们为此次攻击中使用的服务器及其先前的活动确定了相似的设置。可爱的小猫使用Google Sites进行网络钓鱼攻击,而Certfa认为,他们正在为未来的网络钓鱼攻击活动开发一系列恶意软件。”


Certfa Lab创始人Amin Sabeti 通过电子邮件告诉SecurityWeek,攻击似乎已于2019年11月1日开始。他说,此运动自那时以来一直很活跃,攻击仍在继续,有新的基础设施以及观察到的不同身份或情况。


Sabeti还确认,至少有5个人是这些网络钓鱼尝试的目标,但他补充说,可能有20多名预定的受害者。


萨贝蒂说,尽管目标没有确切的地理分布,但分布在世界各地。Certfa Lab也一直在跟踪其他攻击,并决定在完成调查之前共享有关该活动的其他详细信息。

技术支持: 建站ABC | 管理登录