Charming Kitten APT組織針對醫學研究人員發動攻擊
安全研究人員發現在2020年末的一次竊取了美國和以色列醫療研究組織25名高級專業人員證書的網絡釣魚活動與一個伊朗的高級持久性威脅集團 "Charming Kitten "有關系。
據Proofpoint的Joshua Miller和Proofpoint研究團隊周三在網上發布的最新研究報告顯示,這個攻擊活動主要目的是為了竊取那些從事遺傳學、神經學和腫瘤學研究的專業人士的證書。
研究人員在報告中表示,這種類型的攻擊代表著Charming Kitten(也稱為Phosphorus,Ajax或TA453)在網絡攻擊目標上的一個轉變,而且該公司被外界認為與伊朗的伊斯蘭革命衛隊(IRGC)有聯系。
Miller和他的團隊在一份報告中寫道:"雖然這次攻擊活動可能意味著TA453的攻擊目標發生了轉變,但也有可能只是短期的一個變化。醫學研究越來越多地成為威脅攻擊者的目標,這與總體的發展趨勢是一致的。"
事實上,研究人員指出,在最新的攻擊活動中,被攻擊的醫學專業人員 "似乎都是他們各自組織中有很高系統權限的工作人員"。他們表示,雖然Proofpoint還沒有最終確定Charming Kitten的攻擊動機,但這似乎只是一次收集情報的攻擊活動,收集到的信息有可能被用于進一步的釣魚活動中。
攻擊行為的歷史
Charming Kitten被外界認為是由伊朗國家支持的APT組織,自2014年左右開始運作,并建立了一個至少由85個IP地址、240個惡意域名、數百個主機和多個實體組成的"龐大的間諜信息數據庫",魚叉式釣魚攻擊和投放定制的惡意軟件是該組織對受害者使用的一種策略。
Charming Kitten最后一次發動攻擊是在10月份,當時它的攻擊目標是參加慕尼黑安全會議和沙特阿拉伯Think 20(T20)峰會的各國領導人,并試圖竊取他們的電子郵件憑證。
去年7月,人們還看到該組織在另一次憑證竊取的行動中,對以色列學者和美國政府雇員發動攻擊,還以各種方式破壞前總統特朗普為連任所做的各項工作。
最新的攻擊
Proofpoint發現,最新的活動顯示,該組織使用了很多常見的攻擊技巧,此次攻擊活動是一次典型的憑證竊取攻擊。研究人員在12月發現了這一攻擊活動,當時有一個惡意攻擊者控制的Gmail賬戶zajfman.daniel[@]gmail.com偽裝成了以色列著名物理學家,向被攻擊目標發送了一封主題為 "核武器一覽 "的電子郵件。
研究人員說,這些郵件使用了與以色列核武器相關的主題進行社會工程學攻擊,同時還有一個由Charming Kitten控制的1drv[.]casa域名鏈接。
如果有人點擊了該網址,就會被引導到一個頁面是登陸微軟OneDrive服務的網站上,同時還有一個標題為 "CBP-9075.pdf "的PDF文檔,這實際上是一個惡意文件。研究人員寫道:"如果有人隨后試圖查看或打開該PDF,它就會跳轉到一個偽造的微軟登錄頁面,試圖竊取用戶的憑證。"。
他們在帖子中寫道:"除了'Sign up'鏈接之外,網頁中的任何超鏈接都會被重定向到偽造的微軟登錄頁面。只有這個標簽會跳轉到合法的微軟Outlook'注冊'頁面,它的地址是hxxps[://]signup.live[.]com。"
如果受害者走到了這一步,輸入了他的電子郵件并點擊 "下一步",該頁面隨后會要求輸入密碼。一旦輸入了憑證,用戶就會被重定向到微軟的OneDrive,里面存放著虛假的 “核武器”文件。
關于Charming Kitten的其他證據
研究人員表示,除了在攻擊活動中所使用的攻擊策略外,還有其他很多證據能夠表明Charming Kitten是攻擊的幕后黑手。
研究人員在報告中寫道:"Proofpoint團隊確定了攻擊中使用的域,他們可以 "根據網絡基礎設施組件、活動時間和引誘文檔的相似性,將其歸于該組織,這種方式具有很高的可信度"。
他們補充說,在攻擊鏈末端所發現的釣魚文件也具有相似性。以國家安全為主題,這個是該組織進行攻擊的一大特點。
Miller和Proofpoint團隊寫道:"雖然研究人員無法將這些域名與釣魚活動直接關聯起來,但我們判斷這種活動符合該組織的活動特點"
本文翻譯自:https://threatpost.com/charming-kitten-pounces-on-researchers/165129/如若轉載,請注明原文地址。
