黑客也爱学习?不然为啥攻击学术界

黑客也爱学习?不然为啥攻击学术界

一个由国家资助的黑客组织使用Google Chrome浏览器的扩展程序感染受害者的设备并从他们的浏览器中窃取密码和cookie,这种情况在网络间谍活动中还是第一次出现。

这是第一次看到APT(高级持续性威胁——民族国家黑客组织的行业术语)使用Chrome扩展程序,尽管这不是APT第一次使用浏览器扩展程序,如俄罗斯的Turla APT在2015年使用了Firefox插件。

主要发现

Netscout的ASERT团队昨天发布的一份报告显示了至少自2018年5月以来,一直在推动恶意Chrome扩展程序的鱼叉式网络钓鱼活动的细节。

黑客使用鱼叉式网络钓鱼电子邮件,在伪造的合法学术组织网站上欺骗受害者。这些现已关闭的网络钓鱼站点显示了一份PDF文档但用户无法查看,然后将受害者重定向到官方Chrome Web Store页面以安装名为Auto Font Manager(现已删除)的Chrome扩展程序。

黑客也爱学习?不然为啥攻击学术界

图源: Mr. J0hn D0ugh

现已从Chrome Web Store上删除的恶意扩展程序还有黑客使用受感染谷歌账户留下的评论。评论的文本是从其他扩展程序复制粘贴过来的,并且都给该扩展程序打了五星,即使复制的文本是差评。用于评论的受损帐户很可能来自黑客认为目标知道或者信任的个人。但应注意,有些用户报告称他们立即删除了扩展程序,因为它阻止了Chrome浏览器正常运行。这可能表明错误或编写粗糙的代码使用了太多资源来保障其功能和保持隐秘,至少对某些用户而言如此。

恶意Chrome扩展程序声明了在浏览器中的每个URL上运行的权限,如下图所示。

黑客也爱学习?不然为啥攻击学术界

Netscout研究人员表示,该扩展程序可以窃取cookie和网站密码,但他们也发现了一些受损帐户的电子邮件被转发。使用此Chrome扩展程序的鱼叉式网络钓鱼活动针对学术界,但研究人员不想透露受害者的信息。

研究人员已经确定了三所美国大学和一所位于亚洲的非营利机构已经受到攻击。多所受到攻击的大学都在生物医学工程方面颇有建树,这可能是攻击者的动机。

但在研究最近这次攻击时,研究人员还发现托管这些网络钓鱼站点的基础设施之前也被用于另一个通过远程桌面连接(RDP)连接进入大学网络的黑客攻击活动中。这两个独立的活动线程共享基础设施,攻击目标也几乎一致,但目前还不清楚哪个先出现。

攻击者身份

发起这次被研究人员称之为Stolen Pencil的网络钓鱼活动的黑客在隐藏他们行踪方面非常草率,根据研究人员找到的证据,该组织很可能位于朝鲜。

由于该组织使用的OPSEC非常糟糕,用户在打开浏览器时显示的是韩语,英韩互译翻译工具也打开了,输入法也是韩语。

虽然Netscout研究人员不希望将此活动与特定的朝鲜APT联系起来,但Chrome扩展文件哈希的多个行业来源指向了一个名为Kimsuky(也称为Velvet Chollima)的网络间谍组织。

2013年卡巴斯基实验室的一份报告公布了该集团与朝鲜政权有联系的证据。该报告还详细介绍了Kimsuky的攻击目标,与最近的攻击活动相同。

黑客也爱学习?不然为啥攻击学术界

至于黑客最终想要的是什么,Netscout研究人员表示他们“没有发现任何数据被盗的证据,但是就像任何入侵一样,我们不能完全忽视这种可能性,因为没有任何工具或命令专门用于窃取信息”。

结论

知名大学一直是民族国家黑客的攻击目标,特别是那些寻求专有信息或未发布的研究成果的黑客。虽然众所周知俄罗斯的黑客会定期追踪学术界,但伊朗黑客才是最活跃的黑客。

今年3月初,美国起诉10名伊朗黑客入侵了22个国家的320所大学(其中144所在美国)。偷走的一些研究论文最终发布在由一些被起诉的黑客运营的付费访问门户网站上,他们已经找到了可以从他们日常的黑客攻击活动(由国家资助)中获得利润的方法,但起诉并未阻止伊朗黑客继续入侵。

原创文章,作者:M4ble,如若转载,请注明出处:http://www.mottoin.com/news/133216.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code