[[392228]]

 安全研究人員發(fā)現(xiàn)在2020年末的一次竊取了美國和以色列醫(yī)療研究組織25名高級專業(yè)人員證書的網(wǎng)絡(luò)釣魚活動與一個伊朗的高級持久性威脅集團(tuán) "Charming Kitten "有關(guān)系。

據(jù)Proofpoint的Joshua Miller和Proofpoint研究團(tuán)隊周三在網(wǎng)上發(fā)布的最新研究報告顯示，這個攻擊活動主要目的是為了竊取那些從事遺傳學(xué)、神經(jīng)學(xué)和腫瘤學(xué)研究的專業(yè)人士的證書。

研究人員在報告中表示，這種類型的攻擊代表著Charming Kitten(也稱為Phosphorus，Ajax或TA453)在網(wǎng)絡(luò)攻擊目標(biāo)上的一個轉(zhuǎn)變，而且該公司被外界認(rèn)為與伊朗的伊斯蘭革命衛(wèi)隊(IRGC)有聯(lián)系。

Miller和他的團(tuán)隊在一份報告中寫道："雖然這次攻擊活動可能意味著TA453的攻擊目標(biāo)發(fā)生了轉(zhuǎn)變，但也有可能只是短期的一個變化。醫(yī)學(xué)研究越來越多地成為威脅攻擊者的目標(biāo)，這與總體的發(fā)展趨勢是一致的。"

事實(shí)上，研究人員指出，在最新的攻擊活動中，被攻擊的醫(yī)學(xué)專業(yè)人員 "似乎都是他們各自組織中有很高系統(tǒng)權(quán)限的工作人員"。他們表示，雖然Proofpoint還沒有最終確定Charming Kitten的攻擊動機(jī)，但這似乎只是一次收集情報的攻擊活動，收集到的信息有可能被用于進(jìn)一步的釣魚活動中。

攻擊行為的歷史

Charming Kitten被外界認(rèn)為是由伊朗國家支持的APT組織，自2014年左右開始運(yùn)作，并建立了一個至少由85個IP地址、240個惡意域名、數(shù)百個主機(jī)和多個實(shí)體組成的"龐大的間諜信息數(shù)據(jù)庫"，魚叉式釣魚攻擊和投放定制的惡意軟件是該組織對受害者使用的一種策略。

Charming Kitten最后一次發(fā)動攻擊是在10月份，當(dāng)時它的攻擊目標(biāo)是參加慕尼黑安全會議和沙特阿拉伯Think 20(T20)峰會的各國領(lǐng)導(dǎo)人，并試圖竊取他們的電子郵件憑證。

去年7月，人們還看到該組織在另一次憑證竊取的行動中，對以色列學(xué)者和美國政府雇員發(fā)動攻擊，還以各種方式破壞前總統(tǒng)特朗普為連任所做的各項工作。

最新的攻擊

Proofpoint發(fā)現(xiàn)，最新的活動顯示，該組織使用了很多常見的攻擊技巧，此次攻擊活動是一次典型的憑證竊取攻擊。研究人員在12月發(fā)現(xiàn)了這一攻擊活動，當(dāng)時有一個惡意攻擊者控制的Gmail賬戶zajfman.daniel[@]gmail.com偽裝成了以色列著名物理學(xué)家，向被攻擊目標(biāo)發(fā)送了一封主題為 "核武器一覽 "的電子郵件。

研究人員說，這些郵件使用了與以色列核武器相關(guān)的主題進(jìn)行社會工程學(xué)攻擊，同時還有一個由Charming Kitten控制的1drv[.]casa域名鏈接。

如果有人點(diǎn)擊了該網(wǎng)址，就會被引導(dǎo)到一個頁面是登陸微軟OneDrive服務(wù)的網(wǎng)站上，同時還有一個標(biāo)題為 "CBP-9075.pdf "的PDF文檔，這實(shí)際上是一個惡意文件。研究人員寫道："如果有人隨后試圖查看或打開該P(yáng)DF，它就會跳轉(zhuǎn)到一個偽造的微軟登錄頁面，試圖竊取用戶的憑證。"。

他們在帖子中寫道："除了'Sign up'鏈接之外，網(wǎng)頁中的任何超鏈接都會被重定向到偽造的微軟登錄頁面。只有這個標(biāo)簽會跳轉(zhuǎn)到合法的微軟Outlook'注冊'頁面，它的地址是hxxps[://]signup.live[.]com。"

如果受害者走到了這一步，輸入了他的電子郵件并點(diǎn)擊 "下一步"，該頁面隨后會要求輸入密碼。一旦輸入了憑證，用戶就會被重定向到微軟的OneDrive，里面存放著虛假的 “核武器”文件。

關(guān)于Charming Kitten的其他證據(jù)

研究人員表示，除了在攻擊活動中所使用的攻擊策略外，還有其他很多證據(jù)能夠表明Charming Kitten是攻擊的幕后黑手。

研究人員在報告中寫道："Proofpoint團(tuán)隊確定了攻擊中使用的域，他們可以 "根據(jù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件、活動時間和引誘文檔的相似性，將其歸于該組織，這種方式具有很高的可信度"。

他們補(bǔ)充說，在攻擊鏈末端所發(fā)現(xiàn)的釣魚文件也具有相似性。以國家安全為主題，這個是該組織進(jìn)行攻擊的一大特點(diǎn)。

Miller和Proofpoint團(tuán)隊寫道："雖然研究人員無法將這些域名與釣魚活動直接關(guān)聯(lián)起來，但我們判斷這種活動符合該組織的活動特點(diǎn)"

本文翻譯自：https://threatpost.com/charming-kitten-pounces-on-researchers/165129/如若轉(zhuǎn)載，請注明原文地址。