安全解決方案提供商Check Point 拋出的一份新報(bào)告提供了對(duì)伊朗威脅小組Rocket Kitten(火箭貓咪)的進(jìn)一步透析。

Rocket Kitten 至少2014年年初就已出現(xiàn)，其活動(dòng)被多個(gè)安全公司所分析，包括“藏紅玫瑰行動(dòng)”(Operation Saffron Rose ——火眼)、“新聞播報(bào)員”(Newscaster ——埃賽德咨詢)、“塔瑪水庫(kù)”(Thamar Reservoir ——晴空)和“羊毛金魚”(Woolen GoldFish ——趨勢(shì)科技)。

[[159264]]

雖然他們的活動(dòng)被安全公司緊密監(jiān)視，這一 APT 小組看起來(lái)似乎絲毫未受影響，只是簡(jiǎn)單地對(duì)其工具和網(wǎng)絡(luò)釣魚域名作了修改便繼續(xù)從事其行動(dòng)。

Check Point 開始對(duì) Rocket Kitten 進(jìn)行分析是在該小組盯上它的客戶之一之后。在調(diào)查威脅執(zhí)行人使用的網(wǎng)絡(luò)釣魚服務(wù)器時(shí)，專家們注意到：該服務(wù)器依賴的建站集成軟件包配置不當(dāng)，任何人都可以不用密碼就獲取到 root 權(quán)限。

對(duì)攻擊者數(shù)據(jù)庫(kù)的分析顯示：共有超過(guò)1800名受害者為該網(wǎng)絡(luò)釣魚騙局所騙交出了他們的信息。每一個(gè)受害者都與某一特定的 Rocket Kitten 操作員有關(guān)。

舉例來(lái)說(shuō)，一名操作員通過(guò)針對(duì)沙特阿拉伯的人權(quán)斗士、公司首席執(zhí)行官們和政府官員的行動(dòng)收獲了522名用戶的詳細(xì)信息。另一名操作員則針對(duì)北約國(guó)家、阿拉伯聯(lián)合酋長(zhǎng)國(guó)、阿富汗、泰國(guó)和土耳其的國(guó)防產(chǎn)業(yè)，獲取到233名受害者的詳細(xì)資料。伊朗鄰國(guó)的大使館也在該操作員的目標(biāo)范圍之內(nèi)。

最忙碌的操作員要負(fù)責(zé)將近700名受害者，受害者列表中包含了沙特阿拉伯的學(xué)者、有影響力的人、教育組織和媒體機(jī)構(gòu)。Check Point 拿到的數(shù)據(jù)庫(kù)顯示：該小組還對(duì)海外伊朗人、委內(nèi)瑞拉實(shí)體、以色列核科學(xué)家、前軍官、國(guó)家安全和外交政策研究員感興趣。

該網(wǎng)絡(luò)釣魚網(wǎng)站的日志顯示：訪問(wèn)者最大的組成成分來(lái)自沙特阿拉伯(18%)、美國(guó)(17%)、伊朗(16%)、荷蘭(8%)和以色列(5%)。專家確信，訪問(wèn)了該釣魚網(wǎng)站頁(yè)面的人中有26%輸入了他們的憑證——目標(biāo)精準(zhǔn)長(zhǎng)期釣魚下一個(gè)相對(duì)較高的成功率。

除了網(wǎng)絡(luò)釣魚服務(wù)器，研究人員還通過(guò)使用攻擊者硬編碼到惡意軟件中的管理員憑證成功黑進(jìn)了 Rocket Kitten 的命令與控制(C&C)服務(wù)器。這讓 Check Point 找到了揭示這一網(wǎng)絡(luò)間諜組織的主要開發(fā)者“Wool3n.H4T”身份的蛛絲馬跡。

“這一案例，與其他之前的案例一樣，可以被認(rèn)為是某官方機(jī)構(gòu)招募了本地黑客并導(dǎo)引他們從愚弄網(wǎng)站轉(zhuǎn)向?yàn)樗麄兊膰?guó)家進(jìn)行針對(duì)性間諜活動(dòng)。這種沒(méi)經(jīng)驗(yàn)的非專業(yè)人員常常會(huì)由于缺乏訓(xùn)練而反映出一種操作安全意識(shí)的匱乏，留下一大堆指向攻擊源頭與他們真實(shí)身份的線索。” Check Point 在其報(bào)告中稱。

點(diǎn)擊下載報(bào)告