安全性研究工作人员发觉在2020年末的一次窃取了美国和非洲诊疗研究机构25名高級专业人员资格证书的网络钓鱼主题活动与一个沙特的高級持久性危害集团公司 "Charming Kitten "有关系。
据Proofpoint的Joshua Miller和Proofpoint研究精英团队周三在网上发布的全新研究结果报告显示,这一进攻主题活动关键目标是为了更好地窃取这些从业细胞生物学、神经学和肿瘤学研究的专业人员的资格证书。
研究工作人员在汇报中表明,这类类别的进攻意味着着Charming Kitten(也称之为Phosphorus,Ajax或TA453)在黑客攻击总体目标上的一个变化,并且该企业被外部觉得与沙特的伊斯兰教革命卫队(IRGC)有联络。
Miller和他的精英团队在一份报告书中写到:"尽管此次进攻主题活动很有可能代表着TA453的进攻总体目标发生了变化,但也是有很有可能仅仅短期内的一个转变。医药学研究愈来愈多地变成危害网络攻击的总体目标,这与整体的发展趋向是一致的。"
实际上,研究工作人员强调,在近期的进攻主题活动中,黑客攻击的医药学专业人员 "好像全是她们分别机构中有很高系统软件授权的工作员"。她们表明,尽管Proofpoint都还没最后明确Charming Kitten的进攻动因,但这好像仅仅一次收集情报的进攻主题活动,搜集到的消息有可能被用以进一步的垂钓主题活动中。
攻击性行为的历史时间
Charming Kitten被外部觉得是由沙特我国扶持的APT机构,自2014年上下逐渐运行,并确立了一个最少由85个IP地址、240个故意网站域名、数千服务器和好几个实体线构成的"巨大的特工信息内容数据库查询",鱼叉式中间人攻击和推广订制的恶意程序是该机构对受害人应用的一种对策。
Charming Kitten最后一次启动进攻是在10月份,那时候它的进攻总体目标是参与德国慕尼黑安全生产会议和沙特Think 20(T20)高峰会的各国领导人,并尝试窃取她们的电子邮箱凭据。
上年7月,大家还见到该机构在另一次凭据窃取的行为中,对非洲专家学者和美国政府雇员启动进攻,还以多种方法毁坏前美国总统川普为续任所做的各项工作。
全新的进攻
Proofpoint发觉,全新的主题活动表明,该机构应用了许多普遍的进攻方法,本次进攻主题活动是一次典型性的凭据窃取进攻。研究工作人员在12月发觉了这一进攻主题活动,那时候有一个故意网络攻击操纵的Gmail帐户zajfman.daniel[@]gmail.com装扮成了非洲著名物理学家,向黑客攻击总体目标推送了一封主题风格为 "核弹一览 "的电子邮箱。
研究工作人员说,这种电子邮件应用了与非洲核弹有关的主题风格开展社会工程学进攻,与此同时还有一个由Charming Kitten操纵的1drv[.]casa网站域名连接。
假如有些人点开了该网站地址,便会被指引到一个网页页面是登录微软公司OneDrive服务项目的站点上,与此同时还有一个文章标题为 "CBP-9075.pdf "的PDF文档,这其实是一个故意文档。研究工作人员写到:"假如有些人接着尝试查询或开启该PDF,它便会自动跳转到一个仿冒的微软公司登陆页面,尝试窃取客户的凭据。"。
她们在贴子中写到:"除开'Sign up'连接以外,网页页面中的一切超链都是会被跳转到仿冒的微软公司登陆页面。仅有这一标识会自动跳转到合理合法的微软公司Outlook'申请注册'网页页面,它的地点是hxxps[://]signup.live[.]com。"
假如受害人走到了这一步,键入了他的电子邮箱并点一下 "下一步",该网页页面接着会规定输入支付密码。一旦键入了凭据,客户便会被跳转到微软公司的OneDrive,里边储存着虚报的 “核弹”文档。
有关Charming Kitten的别的直接证据
研究工作人员表明,除开在进攻主题活动中所采用的进攻对策外,也有其它许多直接证据可以说明Charming Kitten是进攻的幕后人。
研究工作人员在汇报中写到:"Proofpoint精英团队明确了进攻中采用的域,她们可以 "依据互联网基础设施建设部件、活动的具体时间和诱惑文本文档的同质性,将其归入该机构,这类方法具备很高的真实度"。
她们填补说,在攻击链尾端所看到的垂钓文档也具备同质性。以国防安全为主题风格,这个是该机构开展进攻的一大特性。
Miller和Proofpoint精英团队写到:"尽管研究工作人员没法将这种网站域名与垂钓主题活动立即联系起來,但大家分辨这类主题活动合乎该安排的运动特性"
文中翻譯自:https://threatpost.com/charming-kitten-pounces-on-researchers/165129/倘若转截,请标明全文详细地址。