揭秘一場針對中東知識分子的“社工陰謀”,意圖獲取情報信息
一名疑似伊朗的國家黑客發動了一場復雜的社會工程攻擊行動,通過偽裝成倫敦大學東方非洲研究學院 (SOAS) 的學者來收集敏感信息,目標是中東地區的智庫人員、記者和教授等。
企業安全公司Proofpoint認為這一名為“Operation SpoofedScholars”活動背后的幕后黑手是TA453的高級持續威脅組織,該威脅組織別名為APT35(火眼命名)、Charming Kitten(ClearSky命名)和Phosphorous(微軟命名)。這個政府網絡戰組織被懷疑代表伊*蘭革命衛隊 (IRGC) 開展情報工作。
研究人員表示:“確定的目標包括來自智庫的中東事務專家、著名學術機構的資深教授和記者,該活動顯示了TA453在攻擊方法上的升級和復雜化。”
從高層次的攻擊鏈層面來說,黑客冒充英國學者針對一群精英人群,試圖誘使他們點擊線上會議的注冊鏈接,該鏈接旨在從谷歌、微軟、Facebook和雅虎中獲取各種憑據。
黑客為了能讓身份看起來更合法,將憑據網絡釣魚基礎設施托管在屬于倫敦大學SOAS廣播電臺的一個真實但已被入侵的網站上,將定制化憑據收集頁面偽裝成注冊頁面,并分發給目標用戶。
從已知的一個案例中發現,TA453已向目標人群的個人電子郵件帳戶發送了一封憑據收集郵件。研究人員說:“TA453通過偽裝成SOAS合法附屬機構的學者來分發惡意鏈接,從而增強了憑據獲取的可信度。”
此外,TA453還堅持要求受害者登錄注冊網絡研討會,這增加了攻擊者“計劃立即手動驗證捕獲憑據”的可能性。這些攻擊早在2021年1月就開始了,之后該組織在網絡釣魚電子郵件中巧妙地改變了他們的策略。
這不是該攻擊者第一次發起憑據網絡釣魚攻擊。今年3月初,Proofpoint詳細介紹了針對以色列和美國專門從事遺傳、神經病學和腫瘤學研究的高級醫療專業人員的“BadBlood”活動。
研究人員說:“TA453非法獲取了世界級學術機構的網站訪問權,以利用被入侵的基礎設施來獲取其預定目標的憑據。使用合法但被入侵的基礎設施說明了TA453攻擊手法變得更加復雜,且有可能在未來的活動中持續應用。TA453繼續迭代、創新和收集,以支持IRGC情報收集重點工作。”
倫敦大學東方和非洲研究學院 (SOAS) 的一位發言人在聲明中回應:
| “我們了解到,黑客創建了Gmail帳戶以冒充學者,并創建了一個虛擬站點來攻擊目標用戶,并收集數據。這個虛擬頁面被放置在SOAS Radio的網站上,SOAS Radio是一個獨立的在線廣播電臺,制作公司即SOAS。該網站與SOAS官方網站分開,不屬于我們任何學術領域。此次事件并非SOAS內部人員所為,而是外部人員。SOAS的學術人員并沒有參與這個過程,SOAS工作人員也沒有因為自身行動或聲明導致目標用戶遭欺詐。“
“關于黑客創建虛擬網站,沒有從SOAS獲得任何個人信息,也沒有涉及我們的數據系統(例如,教職員工和學生記錄、財務信息、電子郵件和核心ac.uk網站等)或受此影響。我們的核心系統的網絡安全系統是完整的、有效的。在今年早些時候,我們一發現了這個虛擬站點,就立即補救并報告了數據泄露行為。我們已經審查了事件始末,并采取措施進一步改善對此類外部系統的保護。” |
參考來源:Iranian Hackers Posing as Scholars Target Professors and Writers in Middle-East
