與伊朗伊斯蘭革命衛(wèi)隊(duì)（IRGC）有關(guān)聯(lián)的一個(gè)威脅組織最近發(fā)起了新的網(wǎng)絡(luò)攻擊，目標(biāo)是與即將到來(lái)的美國(guó)總統(tǒng)選舉相關(guān)的電子郵件賬戶，以及以色列的高調(diào)軍事和政治目標(biāo)。這些活動(dòng)主要表現(xiàn)為社交工程釣魚(yú)攻擊，是對(duì)以色列在加沙地帶持續(xù)軍事行動(dòng)以及美國(guó)對(duì)此的支持的一種報(bào)復(fù)，隨著該地區(qū)緊張局勢(shì)的升級(jí)，預(yù)計(jì)此類活動(dòng)將持續(xù)下去。

據(jù)谷歌威脅分析小組（TAG）昨日發(fā)布的一篇博客文章顯示，與伊朗支持的APT42（更廣為人知的名字是“迷人小貓”）有關(guān)聯(lián)的“大量”嘗試登錄約十多名與拜登總統(tǒng)和前總統(tǒng)特朗普有關(guān)聯(lián)人士的個(gè)人電子郵件賬戶已被檢測(cè)并阻止。攻擊的目標(biāo)包括現(xiàn)任和前任美國(guó)政府官員以及與各自競(jìng)選團(tuán)隊(duì)相關(guān)的人士。

此外，該威脅組織在其持續(xù)努力中仍然堅(jiān)持不懈，試圖入侵與現(xiàn)任美國(guó)副總統(tǒng)、現(xiàn)總統(tǒng)候選人卡馬拉·哈里斯以及前總統(tǒng)特朗普有關(guān)聯(lián)的個(gè)人賬戶，包括現(xiàn)任和前任政府官員以及與競(jìng)選團(tuán)隊(duì)相關(guān)的人士。

這一發(fā)現(xiàn)是在一個(gè)基于Telegram的服務(wù)“IntelFetch”也被發(fā)現(xiàn)正在匯總與民主黨全國(guó)委員會(huì)（DNC）和民主黨網(wǎng)站相關(guān)的被攻破的憑據(jù)的同時(shí)出現(xiàn)的。

Charming Kitten持續(xù)針對(duì)以色列目標(biāo)進(jìn)行活動(dòng)

除了與選舉相關(guān)的攻擊外，TAG研究人員還一直在追蹤針對(duì)以色列軍事和政治目標(biāo)的各種網(wǎng)絡(luò)釣魚(yú)活動(dòng)，包括與國(guó)防部門有聯(lián)系的人，以及外交官、學(xué)者和非政府組織，這些活動(dòng)自4月以來(lái)已大幅增加。

據(jù)該帖子稱，谷歌最近刪除了該組織創(chuàng)建的多個(gè) Google Sites 頁(yè)面，“這些頁(yè)面?zhèn)窝b成合法的以色列猶太機(jī)構(gòu)的請(qǐng)?jiān)笗?shū)，呼吁以色列政府進(jìn)行調(diào)解以結(jié)束沖突”。

Charming Kitten 還在 4 月份針對(duì)以色列軍方、國(guó)防、外交官、學(xué)術(shù)界和民間社會(huì)的網(wǎng)絡(luò)釣魚(yú)活動(dòng)中濫用了 Google 協(xié)作平臺(tái)，通過(guò)發(fā)送電子郵件冒充記者要求對(duì)最近針對(duì)以色列前高級(jí)軍事官員和航空航天高管的空襲發(fā)表評(píng)論。

“在過(guò)去的六個(gè)月里，我們已經(jīng)系統(tǒng)地破壞了這些攻擊者在 50 多個(gè)類似活動(dòng)中濫用 Google 協(xié)作平臺(tái)的能力，”Google TAG 表示。

其中一個(gè)活動(dòng)涉及網(wǎng)絡(luò)釣魚(yú)誘餌，該誘餌具有攻擊者控制的 Google 站點(diǎn)鏈接，該鏈接會(huì)將受害者定向到虛假的 Google Meet 登錄頁(yè)面，而其他誘餌包括 OneDrive、Dropbox 和 Skype。

新的和正在進(jìn)行的 APT42 網(wǎng)絡(luò)釣魚(yú)活動(dòng)

在其他攻擊中，Charming Kitten 在網(wǎng)絡(luò)釣魚(yú)活動(dòng)中采用了各種社會(huì)工程策略，這些策略反映了其地緣政治立場(chǎng)。根據(jù)谷歌TAG的說(shuō)法，在可預(yù)見(jiàn)的未來(lái)，這種活動(dòng)不太可能放松。

他們發(fā)現(xiàn)，最近針對(duì)以色列外交官、學(xué)者、非政府組織和政治實(shí)體的運(yùn)動(dòng)來(lái)自各種電子郵件服務(wù)提供商托管的賬戶。盡管這些消息不包含惡意內(nèi)容，但 Google TAG 推測(cè)它們“可能是為了在 APT42 試圖破壞目標(biāo)之前引起收件人的參與”，谷歌暫停了與 APT 關(guān)聯(lián)的 Gmail 帳戶。

6 月的另一項(xiàng)活動(dòng)針對(duì)以色列非政府組織，使用一個(gè)善意的 PDF 電子郵件附件，冒充合法政治實(shí)體，其中包含一個(gè)縮短的 URL 鏈接，該鏈接重定向到旨在收集 Google 登錄憑據(jù)的網(wǎng)絡(luò)釣魚(yú)工具包登錄頁(yè)面。事實(shí)上，研究人員指出，APT42 經(jīng)常使用直接嵌入電子郵件正文中的網(wǎng)絡(luò)釣魚(yú)鏈接，或者作為其他無(wú)害的 PDF 附件中的鏈接。

“在這種情況下，APT42 會(huì)通過(guò)社會(huì)工程誘餌吸引他們的目標(biāo)，以設(shè)置視頻會(huì)議，然后鏈接到一個(gè)登錄頁(yè)面，在該頁(yè)面中，目標(biāo)被提示登錄并發(fā)送到網(wǎng)絡(luò)釣魚(yú)頁(yè)面，”該帖子稱。

另一個(gè) APT42 活動(dòng)模板正在發(fā)送合法的 PDF 附件，作為社會(huì)工程誘餌的一部分，以建立信任并鼓勵(lì)目標(biāo)在 Signal、Telegram 或 WhatsApp 等其他平臺(tái)上參與，根據(jù) Google TAG 的說(shuō)法，這很可能是發(fā)送網(wǎng)絡(luò)釣魚(yú)工具包以獲取憑據(jù)的一種方式。

出于政治動(dòng)機(jī)的襲擊仍在繼續(xù)

所有這些都是對(duì) APT42/Charming Kitten 的常見(jiàn)狩獵，它以出于政治動(dòng)機(jī)的網(wǎng)絡(luò)攻擊而聞名。最近， 自以色列為報(bào)復(fù)哈馬斯10月7日對(duì)以色列的襲擊而在加沙采取軍事行動(dòng)以來(lái)，它一直非常積極地打擊以色列、美國(guó)和其他全球目標(biāo)。

總體而言 ，伊朗長(zhǎng)期以來(lái)一直通過(guò)對(duì)以色列和美國(guó)的網(wǎng)絡(luò)攻擊來(lái)應(yīng)對(duì)該地區(qū)的緊張局勢(shì)。根據(jù) Google TAG 的數(shù)據(jù)，僅在過(guò)去六個(gè)月中，美國(guó)和以色列就占 APT42 已知地理目標(biāo)的約 60%。在以色列最近在伊朗領(lǐng)土上暗殺哈馬斯最高領(lǐng)導(dǎo)人之后，預(yù)計(jì)會(huì)有更多活動(dòng)，因?yàn)閷＜艺J(rèn)為網(wǎng)絡(luò)空間仍將是伊朗支持的威脅行為者的主要戰(zhàn)場(chǎng)。

“APT42 是一個(gè)復(fù)雜、持續(xù)的威脅行為者，他們沒(méi)有跡象表明會(huì)停止針對(duì)用戶和部署新策略的嘗試，”Google TAG 表示。“隨著伊朗和以色列之間的敵對(duì)行動(dòng)加劇，我們可以預(yù)期 APT42 在那里的活動(dòng)會(huì)增加。”

研究人員還在其帖子中包含了一份妥協(xié)指標(biāo) （IoC） 列表，其中包括 APT42 已知使用的域和 IP 地址。可能成為目標(biāo)的組織也應(yīng)對(duì)該組織在其最近發(fā)現(xiàn)的威脅活動(dòng)中使用的各種社會(huì)工程和網(wǎng)絡(luò)釣魚(yú)策略保持警惕。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來(lái)源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明