與伊朗伊斯蘭革命衛(wèi)隊(duì)（IRGC）有關(guān)聯(lián)的一個(gè)威脅組織最近發(fā)起了新的網(wǎng)絡(luò)攻擊，目標(biāo)是與即將到來的美國總統(tǒng)選舉相關(guān)的電子郵件賬戶，以及以色列的高調(diào)軍事和政治目標(biāo)。這些活動(dòng)主要表現(xiàn)為社交工程釣魚攻擊，是對以色列在加沙地帶持續(xù)軍事行動(dòng)以及美國對此的支持的一種報(bào)復(fù)，隨著該地區(qū)緊張局勢的升級，預(yù)計(jì)此類活動(dòng)將持續(xù)下去。

據(jù)谷歌威脅分析小組（TAG）昨日發(fā)布的一篇博客文章顯示，與伊朗支持的APT42（更廣為人知的名字是“迷人小貓”）有關(guān)聯(lián)的“大量”嘗試登錄約十多名與拜登總統(tǒng)和前總統(tǒng)特朗普有關(guān)聯(lián)人士的個(gè)人電子郵件賬戶已被檢測并阻止。攻擊的目標(biāo)包括現(xiàn)任和前任美國政府官員以及與各自競選團(tuán)隊(duì)相關(guān)的人士。

此外，該威脅組織在其持續(xù)努力中仍然堅(jiān)持不懈，試圖入侵與現(xiàn)任美國副總統(tǒng)、現(xiàn)總統(tǒng)候選人卡馬拉·哈里斯以及前總統(tǒng)特朗普有關(guān)聯(lián)的個(gè)人賬戶，包括現(xiàn)任和前任政府官員以及與競選團(tuán)隊(duì)相關(guān)的人士。

這一發(fā)現(xiàn)是在一個(gè)基于Telegram的服務(wù)“IntelFetch”也被發(fā)現(xiàn)正在匯總與民主黨全國委員會(huì)（DNC）和民主黨網(wǎng)站相關(guān)的被攻破的憑據(jù)的同時(shí)出現(xiàn)的。

Charming Kitten持續(xù)針對以色列目標(biāo)進(jìn)行活動(dòng)

除了與選舉相關(guān)的攻擊外，TAG研究人員還一直在追蹤針對以色列軍事和政治目標(biāo)的各種網(wǎng)絡(luò)釣魚活動(dòng)，包括與國防部門有聯(lián)系的人，以及外交官、學(xué)者和非政府組織，這些活動(dòng)自4月以來已大幅增加。

據(jù)該帖子稱，谷歌最近刪除了該組織創(chuàng)建的多個(gè) Google Sites 頁面，“這些頁面?zhèn)窝b成合法的以色列猶太機(jī)構(gòu)的請?jiān)笗?，呼吁以色列政府進(jìn)行調(diào)解以結(jié)束沖突”。

Charming Kitten 還在 4 月份針對以色列軍方、國防、外交官、學(xué)術(shù)界和民間社會(huì)的網(wǎng)絡(luò)釣魚活動(dòng)中濫用了 Google 協(xié)作平臺(tái)，通過發(fā)送電子郵件冒充記者要求對最近針對以色列前高級軍事官員和航空航天高管的空襲發(fā)表評論。

“在過去的六個(gè)月里，我們已經(jīng)系統(tǒng)地破壞了這些攻擊者在 50 多個(gè)類似活動(dòng)中濫用 Google 協(xié)作平臺(tái)的能力，”Google TAG 表示。

其中一個(gè)活動(dòng)涉及網(wǎng)絡(luò)釣魚誘餌，該誘餌具有攻擊者控制的 Google 站點(diǎn)鏈接，該鏈接會(huì)將受害者定向到虛假的 Google Meet 登錄頁面，而其他誘餌包括 OneDrive、Dropbox 和 Skype。

新的和正在進(jìn)行的 APT42 網(wǎng)絡(luò)釣魚活動(dòng)

在其他攻擊中，Charming Kitten 在網(wǎng)絡(luò)釣魚活動(dòng)中采用了各種社會(huì)工程策略，這些策略反映了其地緣政治立場。根據(jù)谷歌TAG的說法，在可預(yù)見的未來，這種活動(dòng)不太可能放松。

他們發(fā)現(xiàn)，最近針對以色列外交官、學(xué)者、非政府組織和政治實(shí)體的運(yùn)動(dòng)來自各種電子郵件服務(wù)提供商托管的賬戶。盡管這些消息不包含惡意內(nèi)容，但 Google TAG 推測它們“可能是為了在 APT42 試圖破壞目標(biāo)之前引起收件人的參與”，谷歌暫停了與 APT 關(guān)聯(lián)的 Gmail 帳戶。

6 月的另一項(xiàng)活動(dòng)針對以色列非政府組織，使用一個(gè)善意的 PDF 電子郵件附件，冒充合法政治實(shí)體，其中包含一個(gè)縮短的 URL 鏈接，該鏈接重定向到旨在收集 Google 登錄憑據(jù)的網(wǎng)絡(luò)釣魚工具包登錄頁面。事實(shí)上，研究人員指出，APT42 經(jīng)常使用直接嵌入電子郵件正文中的網(wǎng)絡(luò)釣魚鏈接，或者作為其他無害的 PDF 附件中的鏈接。

“在這種情況下，APT42 會(huì)通過社會(huì)工程誘餌吸引他們的目標(biāo)，以設(shè)置視頻會(huì)議，然后鏈接到一個(gè)登錄頁面，在該頁面中，目標(biāo)被提示登錄并發(fā)送到網(wǎng)絡(luò)釣魚頁面，”該帖子稱。

另一個(gè) APT42 活動(dòng)模板正在發(fā)送合法的 PDF 附件，作為社會(huì)工程誘餌的一部分，以建立信任并鼓勵(lì)目標(biāo)在 Signal、Telegram 或 WhatsApp 等其他平臺(tái)上參與，根據(jù) Google TAG 的說法，這很可能是發(fā)送網(wǎng)絡(luò)釣魚工具包以獲取憑據(jù)的一種方式。

出于政治動(dòng)機(jī)的襲擊仍在繼續(xù)

所有這些都是對 APT42/Charming Kitten 的常見狩獵，它以出于政治動(dòng)機(jī)的網(wǎng)絡(luò)攻擊而聞名。最近， 自以色列為報(bào)復(fù)哈馬斯10月7日對以色列的襲擊而在加沙采取軍事行動(dòng)以來，它一直非常積極地打擊以色列、美國和其他全球目標(biāo)。

總體而言 ，伊朗長期以來一直通過對以色列和美國的網(wǎng)絡(luò)攻擊來應(yīng)對該地區(qū)的緊張局勢。根據(jù) Google TAG 的數(shù)據(jù)，僅在過去六個(gè)月中，美國和以色列就占 APT42 已知地理目標(biāo)的約 60%。在以色列最近在伊朗領(lǐng)土上暗殺哈馬斯最高領(lǐng)導(dǎo)人之后，預(yù)計(jì)會(huì)有更多活動(dòng)，因?yàn)閷＜艺J(rèn)為網(wǎng)絡(luò)空間仍將是伊朗支持的威脅行為者的主要戰(zhàn)場。

“APT42 是一個(gè)復(fù)雜、持續(xù)的威脅行為者，他們沒有跡象表明會(huì)停止針對用戶和部署新策略的嘗試，”Google TAG 表示?！半S著伊朗和以色列之間的敵對行動(dòng)加劇，我們可以預(yù)期 APT42 在那里的活動(dòng)會(huì)增加?！?/p>

研究人員還在其帖子中包含了一份妥協(xié)指標(biāo) （IoC） 列表，其中包括 APT42 已知使用的域和 IP 地址?？赡艹蔀槟繕?biāo)的組織也應(yīng)對該組織在其最近發(fā)現(xiàn)的威脅活動(dòng)中使用的各種社會(huì)工程和網(wǎng)絡(luò)釣魚策略保持警惕。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明