Charming Kitty回归 ——回顾伊朗黑客一波有组织的网络钓鱼攻击

Charming Kitty回归 ——回顾伊朗黑客一波有组织的网络钓鱼攻击

据美联社独家报道,随着美国总统唐纳德·特朗普上个月对伊朗实施严厉的经济制裁,一些黑客大规模以网络钓鱼攻击了负责执行这些制裁令的美国官员的个人电子邮箱。据悉,这些黑客与Charming Kitty组织存在某种关联。网络钓鱼攻击是伊朗国家支持的黑客用来获取目标账户的最常采取的渗透形式。

美联社利用总部位于伦敦的网络安全机构Certfa收集的数据,追踪了一个代号为Charming Kitten的黑客组织过去一个月试图入侵十几位美国财政部官员的私人电子邮箱。同样在此次攻击行动中,黑客还将那些参与对伊朗伊斯兰共和国的经济和军事制裁的人、世界各地的政治家、公民和人权活动家以及记者等列为了攻击对象。

攻击导火索

2018年8月7日,即5月8日美国总统特朗普宣布美国退出伊核协议(联合全面行动计划,JCPOA)、决定恢复对伊朗制裁后的第三个月末,也即美方设定90天和180天两个制裁缓冲期的第一个缓冲期到期日,美国对伊朗的第一批制裁开始生效,主要涉及伊朗的金融业、贵金属、汽车和航空业。当天,伊朗总统鲁哈尼在接受采访时表示,美国将会为其实施制裁感到后悔,并呼吁伊朗国内团结一致对抗美国制裁。两国的互怼态势全面升级。

不出意外,美国设定的第二个制裁到期日到来之际,也就是11月4日,美国将对伊朗实施更大力度的制裁,其中制裁重点就是素有伊朗经济“生命线”之称的石油业。

Charming Kitty回归 ——回顾伊朗黑客一波有组织的网络钓鱼攻击

不妨深入分析一下背后的原因,伊朗是中东地区目前唯一能和美国抗衡的大国,制裁伊朗能够削弱伊朗在中东的影响力和国力,有利于美国的中东布局,而且伊朗与俄罗斯关系比较密切,制裁伊朗也可以削弱俄罗斯在中东的影响力(对中国也有制约,伊朗与中国虽然不是关系密切,但是也是有经济往来的)。

Charming Kitty黑客组织

Charming Kitty是一个伊朗网络间谍组织,自2014年左右开始活跃。他们攻击对象大多数是那些针对伊朗的个人或机构,范围包括学术研究者、人权和媒体工作者。大多数受害者位于伊朗国内、美国、以色列和英国。

Charming Kitty通常会尝试访问私人电子邮箱和Facebook帐户,有时会在受害者计算机上建立后门留作备用。该组织的黑客技术、战术和程序(TTPs)与另一个黑客组织Rocket Kitten广泛重叠,因此常常无法区分两个组织的攻击活动。

攻击方法

调查表明,攻击者正在利用不同的方法来进行攻击。这些方法可以大致分为两类:

1.利用未知的电子邮件、社交媒体或消息传递帐号进行的网络钓鱼攻击;

2.利用被黑的公众人物的电子邮件或社交媒体、消息传递账户进行的网络钓鱼攻击。

调查还发现黑客在进行此次网络钓鱼攻击之前就已经收集了其目标的相关信息,并根据目标的网络知识水平、联系人、活动、工作时间和地理位置,为每个目标特意设计了具体有针对性的攻击计划。

另外值得一提的是,与以前的网络钓鱼活动不同。在某些情况下,黑客在最新的攻击中没有更改受害者帐户的密码。这使得他们能够不被察觉,并持续通过这些电子邮件实时监控受害者的通信。

伪造未经授权访问的警报

根据获取的网络钓鱼攻击的样本,这些黑客用来欺骗目标的主要技巧是通过一些电子邮件地址发送虚假警报,如notifications.mailservices@gmail[.]com,noreply.customermails@gmail[.]com,customer]email-delivery[.]info等。这些邮件声称有未经授权的人试图进入他们的账户。

Charming Kitty回归 ——回顾伊朗黑客一波有组织的网络钓鱼攻击

虚假警报链接

通过使用这种方法,攻击者伪装成电子邮件提供商向目标发送安全警报,用户应立即审查并限制可疑访问,点击“目标链接”可获得更多详细信息。

Google Drive上的假文件共享

发送带有标题的链接(例如来自Google Drive的共享文件)是黑客近年来使用的最常见的技巧之一。与之前的攻击相比,这些攻击的独特之处在于他们使用Google Site3,它允许黑客显示Google Drive的虚假下载页面,欺骗用户认为它是一个真正的Google Drive页面。

Charming Kitty回归 ——回顾伊朗黑客一波有组织的网络钓鱼攻击

虚假的Google Drive文件共享页面

例如,黑客使用hxxps://sites.google[.]com/view/sharingdrivesystem来欺骗用户,让其相信该网页是真正的 Google Drive,因为用户可以在浏览器的地址栏中看到google.com。

黑客的行踪

黑客已经建立了大量的域名。根据最新调查结果显示,此类网络钓鱼活动中,黑客在相对较短的时间内(2018年9月至11月)使用了20多个域名。在撰写本报告时,网络钓鱼域名的数量有所增加。对这些服务器的更深入调查揭示了他们的域名网络在最近的攻击中是如何被使用的。

Charming Kitty回归 ——回顾伊朗黑客一波有组织的网络钓鱼攻击

此次钓鱼行动中攻击者网络的深层数据

此外,通过技术手段,Certfa的研究人员发现参与此次钓鱼攻击活动的黑客使用了荷兰和法国IP的虚拟专用网络(VPN)和代理,旨在隐藏其原始位置。尽管如此,Certfa还是发现了足够的证据表明这些黑客正在使用是是他们真实的IP地址(来自伊朗的89.198.179[.]103和31.2.213[.]18)。

此外,该活动的一些域名和服务器与Charming Kitten使用的方法、技术和目标非常相似,Charming Kitten是一个与伊朗政府有联系的黑客组织。因此,Certfa认为Charming Kitten组织已经回归网络攻击活动,尤其关注以色列及美国目标。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133398.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code