一名疑似伊朗国家黑客,伪装成伊朗伊斯兰大学亚非学院(SOAS)发起复杂的社会工程学攻击伦敦学者收集敏感信息,目标是中东的智库人员、记者和教授。企业安全公司Proofpoint认为,这场名为“OperationSpoofedScholars”的活动的幕后黑手是高级持续性威胁组织TA453,别名为APT35(FireEye命名)、CharmingKitten(ClearSky命名)和Phosphorous(微软命名)。政府网络战组织涉嫌代表伊斯兰革命卫队(IRGC)开展情报工作。“确定的目标包括来自智库的中东事务专家、来自著名学术机构的资深教授和记者,这一活动表明TA453攻击手段的升级和复杂性,”研究人员说。从高层次的攻击链层面冒充英国学者的黑客以一群精英为目标,试图引诱他们点击在线会议的注册链接,该会议旨在从谷歌、微软、Facebook和雅虎获取凭证。为了使身份看起来更合法,黑客将凭证钓鱼基础设施托管在属于伦敦大学SOAS广播电台的一个真实但被破坏的网站上,将定制的凭证收集页面伪装成注册页面,并将其分发到目标用户。从一个已知案例中,我们发现TA453向目标群体的个人电子邮件帐户发送了一封凭证收集电子邮件。“TA453通过分发伪装成来自合法SOAS分支机构的学者的恶意链接来增强凭证收集的可信度,”研究人员说。此外,TA453还坚持让受害者登录以注册网络研讨会,这增加了攻击者“安排立即手动验证捕获凭据”的可能性。这些攻击早在2021年1月就开始了,之后该组织巧妙地改变了他们在网络钓鱼电子邮件中的策略。这不是攻击者第一次发起凭据钓鱼攻击。3月初,Proofpoint详细介绍了针对以色列和美国专门从事遗传学、神经学和肿瘤学研究的高级医疗专业人员的“BadBlood”活动。研究人员说:“TA453非法获得了对世界一流学术机构网站的访问权限,以便利用受损的基础设施为其预期目标获取证书。”使用合法但受损的基础设施表明TA453攻击方法越来越复杂,这些方法可能会在未来的活动中继续使用。TA453继续迭代、创新和收集以支持IRGC情报收集优先事项。伦敦大学亚非学院(SOAS)发言人在一份声明中回应说:“我们了解到黑客创建了Gmail帐户来冒充学者,并创建了一个虚拟站点来定位用户并收集数据。这个虚拟页面是放在SOASRadio的网站上,SOASRadio是SOAS出品的独立网络广播电台,该网站与SOAS官方网站是分开的,不属于我们任何学术领域,这件事不是SOAS内部人干的,而是外人干的。SOAS的学术人员没有参与这一过程,其行为或言论导致目标用户被骗的SOAS工作人员也没有参与。“没有从SOAS获得与创建虚拟网站的黑客有关的个人信息,我们的数据也没有涉及或受影响的系统(例如教职工和学生记录、财务信息、电子邮件和核心ac.uk网站等)。我们的核心系统的网络安全系统是完整的并且有效。今年早些时候,我们一发现假冒网站,就立即进行了补救并报告了数据泄露事件。我们已经审查了该事件并采取措施进一步改进对这些外部系统的保护。”参考来源:假扮成学者的伊朗黑客瞄准中东的教授和作家
