一名疑似伊朗的國家黑客發(fā)動了一場復(fù)雜的社會工程攻擊行動，通過偽裝成倫敦大學東方非洲研究學院 (SOAS) 的學者來收集敏感信息，目標是中東地區(qū)的智庫人員、記者和教授等。

[[411917]]

企業(yè)安全公司Proofpoint認為這一名為“Operation SpoofedScholars”活動背后的幕后黑手是TA453的高級持續(xù)威脅組織，該威脅組織別名為APT35(火眼命名)、Charming Kitten(ClearSky命名)和Phosphorous(微軟命名)。這個政府網(wǎng)絡(luò)戰(zhàn)組織被懷疑代表伊*蘭革命衛(wèi)隊 (IRGC) 開展情報工作。

研究人員表示：“確定的目標包括來自智庫的中東事務(wù)專家、著名學術(shù)機構(gòu)的資深教授和記者，該活動顯示了TA453在攻擊方法上的升級和復(fù)雜化。”

從高層次的攻擊鏈層面來說，黑客冒充英國學者針對一群精英人群，試圖誘使他們點擊線上會議的注冊鏈接，該鏈接旨在從谷歌、微軟、Facebook和雅虎中獲取各種憑據(jù)。

黑客為了能讓身份看起來更合法，將憑據(jù)網(wǎng)絡(luò)釣魚基礎(chǔ)設(shè)施托管在屬于倫敦大學SOAS廣播電臺的一個真實但已被入侵的網(wǎng)站上，將定制化憑據(jù)收集頁面?zhèn)窝b成注冊頁面，并分發(fā)給目標用戶。

從已知的一個案例中發(fā)現(xiàn)，TA453已向目標人群的個人電子郵件帳戶發(fā)送了一封憑據(jù)收集郵件。研究人員說：“TA453通過偽裝成SOAS合法附屬機構(gòu)的學者來分發(fā)惡意鏈接，從而增強了憑據(jù)獲取的可信度。”

此外，TA453還堅持要求受害者登錄注冊網(wǎng)絡(luò)研討會，這增加了攻擊者“計劃立即手動驗證捕獲憑據(jù)”的可能性。這些攻擊早在2021年1月就開始了，之后該組織在網(wǎng)絡(luò)釣魚電子郵件中巧妙地改變了他們的策略。

這不是該攻擊者第一次發(fā)起憑據(jù)網(wǎng)絡(luò)釣魚攻擊。今年3月初，Proofpoint詳細介紹了針對以色列和美國專門從事遺傳、神經(jīng)病學和腫瘤學研究的高級醫(yī)療專業(yè)人員的“BadBlood”活動。

研究人員說：“TA453非法獲取了世界級學術(shù)機構(gòu)的網(wǎng)站訪問權(quán)，以利用被入侵的基礎(chǔ)設(shè)施來獲取其預(yù)定目標的憑據(jù)。使用合法但被入侵的基礎(chǔ)設(shè)施說明了TA453攻擊手法變得更加復(fù)雜，且有可能在未來的活動中持續(xù)應(yīng)用。TA453繼續(xù)迭代、創(chuàng)新和收集，以支持IRGC情報收集重點工作。”

倫敦大學東方和非洲研究學院 (SOAS) 的一位發(fā)言人在聲明中回應(yīng)：

參考來源：Iranian Hackers Posing as Scholars Target Professors and Writers in Middle-East