伊朗黑客于近期网战中更新了鱼叉式网络钓鱼技术

ClearSky的安全研究人员报告说，伊朗政府赞助的黑客团体“迷人的小猫”在8月和9月观察到的一场运动中采用了新的鱼叉式网络钓鱼方法。

这次袭击与微软最近针对美国总统候选人，政府官员，媒体目标和知名侨民伊朗人发起的竞选活动有关。该运动导致总共241个目标中的四个帐户遭到破坏。

“直到现在，伊朗一直是一个不干预世界各地选举的国家。从历史的角度来看，这种类型的网络活动主要归因于俄罗斯的APT团体。” ClearSky在其报告（PDF,见文末）中指出。

尽管缺乏历史上的选举目标，安全研究人员以中等高度的信心说，微软披露的攻击是他们在过去几个月中观察到的同一运动的一部分。

根据ClearSky的说法，受害人的个人资料与Microsoft公开的受害人的个人资料相似，攻击时间重叠，并且在两个活动中使用了相同的攻击媒介，表明它们是一致的。

Charming Kitten，也被追踪为APT35，Ajax安全团队，NewsBeef，Newscaster和Phosphorus的组织，至少从2011年起就开始活跃起来，目标人群是针对中东，美国组织和位于以色列，英国的实体的活动家和记者，沙特阿拉伯和伊拉克。

ClearSky说，作为新观察到的活动的一部分，该小组采用了三种不同的鱼叉式网络钓鱼方法，即密码恢复模拟，鱼叉式网络钓鱼电子邮件和通过SMS消息进行鱼叉式网络钓鱼。

使用的第一个模拟载体是一封带有链接的邮件，该链接伪装为从Google云端硬盘或同事的电子邮件地址到达。使用社交工程来试图诱骗受害者公开其登录凭据。

“另一种社会工程技术是识别受害人所指向的Google网站，并将网络钓鱼页面与其（该网站的）电子邮件配对。换句话说，受害者会收到来自攻击者的电子邮件，其中包含为他们准备的链接。

另一个媒介使用了包含链接的SMS消息，并声称将破坏其电子邮件帐户的尝试通知收件人。就像在前面的攻击中一样，该链接指向URL缩短服务，导致恶意网站尝试仿冒受害者的凭据。

第三个攻击媒介使用了伪造的未经授权的登录尝试警报，在此情况下，目标受害者被告知北朝鲜攻击者试图破坏其Yahoo电子邮件地址，并被要求保护其帐户安全。先前，受害者被告知北朝鲜某人更改了他们的电子邮件恢复选项。

迷人小猫最近使用的第四个攻击媒介是社交网络假冒。为了获取登录凭据，攻击者为Instagram，Facebook，Twitter，Google和美国国家伊朗裔美国人委员会创建了虚假站点。

尽管对于“迷人的小猫”来说并不是什么新鲜事物，但针对雅虎帐户的定位是该组织几年来一直没有做到的事情。自2017年以来，黑客开始专注于Google帐户，但似乎他们现在又重新瞄准了Yahoo帐户并假冒Yahoo服务。

PDF下载：

https://www.clearskysec.com/wp-content/uploads/2019/10/The-Kittens-Are-Back-in-Town-2.pdf

（文章来源：红数位）

注：内容均来源于互联网，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。