與伊朗伊斯蘭革命衛(wèi)隊(IRGC)有關(guān)聯(lián)的一個威脅組織最近發(fā)起了新的網(wǎng)絡攻擊,目標是與即將到來的美國總統(tǒng)選舉相關(guān)的電子郵件賬戶,以及以色列的高調(diào)軍事和政治目標。這些活動主要表現(xiàn)為社交工程釣魚攻擊,是對以色列在加沙地帶持續(xù)軍事行動以及美國對此的支持的一種報復,隨著該地區(qū)緊張局勢的升級,預計此類活動將持續(xù)下去。
據(jù)谷歌威脅分析小組(TAG)昨日發(fā)布的一篇博客文章顯示,與伊朗支持的APT42(更廣為人知的名字是“迷人小貓”)有關(guān)聯(lián)的“大量”嘗試登錄約十多名與拜登總統(tǒng)和前總統(tǒng)特朗普有關(guān)聯(lián)人士的個人電子郵件賬戶已被檢測并阻止。攻擊的目標包括現(xiàn)任和前任美國政府官員以及與各自競選團隊相關(guān)的人士。
此外,該威脅組織在其持續(xù)努力中仍然堅持不懈,試圖入侵與現(xiàn)任美國副總統(tǒng)、現(xiàn)總統(tǒng)候選人卡馬拉·哈里斯以及前總統(tǒng)特朗普有關(guān)聯(lián)的個人賬戶,包括現(xiàn)任和前任政府官員以及與競選團隊相關(guān)的人士。
這一發(fā)現(xiàn)是在一個基于Telegram的服務“IntelFetch”也被發(fā)現(xiàn)正在匯總與民主黨全國委員會(DNC)和民主黨網(wǎng)站相關(guān)的被攻破的憑據(jù)的同時出現(xiàn)的。
Charming Kitten持續(xù)針對以色列目標進行活動
除了與選舉相關(guān)的攻擊外,TAG研究人員還一直在追蹤針對以色列軍事和政治目標的各種網(wǎng)絡釣魚活動,包括與國防部門有聯(lián)系的人,以及外交官、學者和非政府組織,這些活動自4月以來已大幅增加。
據(jù)該帖子稱,谷歌最近刪除了該組織創(chuàng)建的多個 Google Sites 頁面,“這些頁面?zhèn)窝b成合法的以色列猶太機構(gòu)的請愿書,呼吁以色列政府進行調(diào)解以結(jié)束沖突”。
Charming Kitten 還在 4 月份針對以色列軍方、國防、外交官、學術(shù)界和民間社會的網(wǎng)絡釣魚活動中濫用了 Google 協(xié)作平臺,通過發(fā)送電子郵件冒充記者要求對最近針對以色列前高級軍事官員和航空航天高管的空襲發(fā)表評論。
“在過去的六個月里,我們已經(jīng)系統(tǒng)地破壞了這些攻擊者在 50 多個類似活動中濫用 Google 協(xié)作平臺的能力,”Google TAG 表示。
其中一個活動涉及網(wǎng)絡釣魚誘餌,該誘餌具有攻擊者控制的 Google 站點鏈接,該鏈接會將受害者定向到虛假的 Google Meet 登錄頁面,而其他誘餌包括 OneDrive、Dropbox 和 Skype。
新的和正在進行的 APT42 網(wǎng)絡釣魚活動
在其他攻擊中,Charming Kitten 在網(wǎng)絡釣魚活動中采用了各種社會工程策略,這些策略反映了其地緣政治立場。根據(jù)谷歌TAG的說法,在可預見的未來,這種活動不太可能放松。
他們發(fā)現(xiàn),最近針對以色列外交官、學者、非政府組織和政治實體的運動來自各種電子郵件服務提供商托管的賬戶。盡管這些消息不包含惡意內(nèi)容,但 Google TAG 推測它們“可能是為了在 APT42 試圖破壞目標之前引起收件人的參與”,谷歌暫停了與 APT 關(guān)聯(lián)的 Gmail 帳戶。
6 月的另一項活動針對以色列非政府組織,使用一個善意的 PDF 電子郵件附件,冒充合法政治實體,其中包含一個縮短的 URL 鏈接,該鏈接重定向到旨在收集 Google 登錄憑據(jù)的網(wǎng)絡釣魚工具包登錄頁面。事實上,研究人員指出,APT42 經(jīng)常使用直接嵌入電子郵件正文中的網(wǎng)絡釣魚鏈接,或者作為其他無害的 PDF 附件中的鏈接。
“在這種情況下,APT42 會通過社會工程誘餌吸引他們的目標,以設(shè)置視頻會議,然后鏈接到一個登錄頁面,在該頁面中,目標被提示登錄并發(fā)送到網(wǎng)絡釣魚頁面,”該帖子稱。
另一個 APT42 活動模板正在發(fā)送合法的 PDF 附件,作為社會工程誘餌的一部分,以建立信任并鼓勵目標在 Signal、Telegram 或 WhatsApp 等其他平臺上參與,根據(jù) Google TAG 的說法,這很可能是發(fā)送網(wǎng)絡釣魚工具包以獲取憑據(jù)的一種方式。
出于政治動機的襲擊仍在繼續(xù)
所有這些都是對 APT42/Charming Kitten 的常見狩獵,它以出于政治動機的網(wǎng)絡攻擊而聞名。最近, 自以色列為報復哈馬斯10月7日對以色列的襲擊而在加沙采取軍事行動以來,它一直非常積極地打擊以色列、美國和其他全球目標。
總體而言 ,伊朗長期以來一直通過對以色列和美國的網(wǎng)絡攻擊來應對該地區(qū)的緊張局勢。根據(jù) Google TAG 的數(shù)據(jù),僅在過去六個月中,美國和以色列就占 APT42 已知地理目標的約 60%。在以色列最近在伊朗領(lǐng)土上暗殺哈馬斯最高領(lǐng)導人之后,預計會有更多活動,因為專家認為網(wǎng)絡空間仍將是伊朗支持的威脅行為者的主要戰(zhàn)場。
“APT42 是一個復雜、持續(xù)的威脅行為者,他們沒有跡象表明會停止針對用戶和部署新策略的嘗試,”Google TAG 表示。“隨著伊朗和以色列之間的敵對行動加劇,我們可以預期 APT42 在那里的活動會增加。”
研究人員還在其帖子中包含了一份妥協(xié)指標 (IoC) 列表,其中包括 APT42 已知使用的域和 IP 地址。可能成為目標的組織也應對該組織在其最近發(fā)現(xiàn)的威脅活動中使用的各種社會工程和網(wǎng)絡釣魚策略保持警惕。
及時掌握網(wǎng)絡安全態(tài)勢 盡在傻蛋網(wǎng)絡安全監(jiān)測系統(tǒng)
本文來源:互聯(lián)網(wǎng)
如涉及侵權(quán),請及時與我們聯(lián)系,我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話:400-869-9193 負責人:張明
工商執(zhí)照