安全研究人员发现,2020年底窃取美国和以色列医学研究组织25名高级专业人员凭证的网络钓鱼活动与伊朗高级持续威胁组织“CharmingKitten”有关“相关的。根据Proofpoint的JoshuaMiller和Proofpoint研究团队周三在线发布的一份新研究报告,该活动旨在窃取遗传学、神经学和肿瘤学专业人士的证书。研究人员在报告中表示,这种类型的攻击代表了针对CharmingKitten(也称为Phosphorus、Ajax或TA453)的网络目标的转变,该公司被认为与伊朗伊斯兰革命卫队(IRGC)有关联。连接的。米勒和他的团队在一份报告中写道:“虽然这次活动可能代表了TA453目标的转变,但也有可能只是短期的变化。医学研究越来越成为符合大势的威胁行为者。”事实上,研究人员指出,在最近的攻击活动中,目标医疗专业人员“似乎是在各自组织内拥有高系统权限的工作人员”。他们表示,虽然Proofpoint尚未最终确定CharmingKitten的攻击动机,但它似乎是一项情报收集活动,可能会被用于进一步的网络钓鱼活动。攻击行为历史CharmingKitten被认为是伊朗国家支持的APT组织。它从2014年左右开始运营,已经建立了一个由至少85个IP地址、240个恶意域名、数百台主机和多个实体组成的网络。鱼叉式网络钓鱼攻击和投放自定义恶意软件是该组织用来对付受害者的一种策略。CharmingKitten的最后一次攻击是在10月,当时它针对参加慕尼黑安全会议和沙特阿拉伯Think20(T20)峰会的领导人,试图窃取他们的电子邮件凭据。去年7月,该组织还以以色列学者和美国政府雇员为目标进行了另一次凭证窃取行动,并以各种方式破坏前总统特朗普的连任努力。最新攻击Proofpoint发现,最新活动显示该组织使用了很多常见的攻击技术,此次攻击是典型的凭证盗窃攻击。研究人员在去年12月发现了这次攻击,当时一个Gmail帐户zajfman.daniel[@]gmail.com被一个冒充以色列著名物理学家的恶意行为者控制,向目标发送了一封主题为“NuclearList”的电子邮件。研究人员说,这些电子邮件使用了与以色列核武器相关的社会工程学主题,以及指向由CharmingKitten控制的1drv[.]casa域的链接。如果有人单击该URL,他们将被定向到一个登录Microsoft的OneDrive服务的页面,以及一个名为“CBP-9075.pdf”的PDF文档,这实际上是一个恶意文件。研究人员写道:“如果有人随后试图查看或打开PDF,它会重定向到一个假冒的Microsoft登录页面,该页面试图窃取用户的凭据。”“除了‘注册’链接之外,网页中的任何超链接都将重定向到一个假的微软登录页面。只有这个标签会重定向到合法的MicrosoftOutlook‘注册’页面,”他们在帖子中写道。它的地址是hxxps[://]signup.live[.]com。”如果受害者到达这里,输入他的电子邮件并点击“下一步”,该页面就会要求输入密码。输入凭据后,用户被重定向到微软的OneDrive,那里存储了伪造的“核武器”文件。关于迷人小猫的其他证据研究人员表示,除了攻击活动中使用的攻击策略外,还有很多其他证据可以指向CharmingKitten是攻击的幕后黑手。“Proofpoint团队根据网络基础设施组件、??活动时间和诱饵文件的相似性,以一种他们可以归因于该组织的方式确定了攻击中使用的域”,具有高度信心,研究人员在报告中写道。可信度”。他们补充说,在攻击链末端发现的网络钓鱼文件中也发现了相似之处。国家安全的主题是该组织袭击的一个特点。米勒和Proofpoint团队写道:“虽然研究人员无法直接将这些域与网络钓鱼活动联系起来,但我们判断此类活动与该组织的活动一致。”-pounces-on-researchers/165129/如有转载请注明原文地址。
