Charming Kitten APT组织针对医学研究人员发动攻击
安全研究人员发现在2020年末的一次窃取了美国和以色列医疗研究组织25名高级专业人员证书的网络钓鱼活动与一个伊朗的高级持久性威胁集团 "Charming Kitten "有关系。
据Proofpoint的Joshua Miller和Proofpoint研究团队周三在网上发布的最新研究报告显示,这个攻击活动主要目的是为了窃取那些从事遗传学、神经学和肿瘤学研究的专业人士的证书。
研究人员在报告中表示,这种类型的攻击代表着Charming Kitten(也称为Phosphorus,Ajax或TA453)在网络攻击目标上的一个转变,而且该公司被外界认为与伊朗的伊斯兰革命卫队(IRGC)有联系。
Miller和他的团队在一份报告中写道:"虽然这次攻击活动可能意味着TA453的攻击目标发生了转变,但也有可能只是短期的一个变化。医学研究越来越多地成为威胁攻击者的目标,这与总体的发展趋势是一致的。"
事实上,研究人员指出,在最新的攻击活动中,被攻击的医学专业人员 "似乎都是他们各自组织中有很高系统权限的工作人员"。他们表示,虽然Proofpoint还没有最终确定Charming Kitten的攻击动机,但这似乎只是一次收集情报的攻击活动,收集到的信息有可能被用于进一步的钓鱼活动中。
攻击行为的历史
Charming Kitten被外界认为是由伊朗国家支持的APT组织,自2014年左右开始运作,并建立了一个至少由85个IP地址、240个恶意域名、数百个主机和多个实体组成的"庞大的间谍信息数据库",鱼叉式钓鱼攻击和投放定制的恶意软件是该组织对受害者使用的一种策略。
Charming Kitten最后一次发动攻击是在10月份,当时它的攻击目标是参加慕尼黑安全会议和沙特阿拉伯Think 20(T20)峰会的各国领导人,并试图窃取他们的电子邮件凭证。
去年7月,人们还看到该组织在另一次凭证窃取的行动中,对以色列学者和美国政府雇员发动攻击,还以各种方式破坏前总统特朗普为连任所做的各项工作。
最新的攻击
Proofpoint发现,最新的活动显示,该组织使用了很多常见的攻击技巧,此次攻击活动是一次典型的凭证窃取攻击。研究人员在12月发现了这一攻击活动,当时有一个恶意攻击者控制的Gmail账户zajfman.daniel[@]gmail.com伪装成了以色列著名物理学家,向被攻击目标发送了一封主题为 "核武器一览 "的电子邮件。
研究人员说,这些邮件使用了与以色列核武器相关的主题进行社会工程学攻击,同时还有一个由Charming Kitten控制的1drv[.]casa域名链接。
如果有人点击了该网址,就会被引导到一个页面是登陆微软OneDrive服务的网站上,同时还有一个标题为 "CBP-9075.pdf "的PDF文档,这实际上是一个恶意文件。研究人员写道:"如果有人随后试图查看或打开该PDF,它就会跳转到一个伪造的微软登录页面,试图窃取用户的凭证。"。
他们在帖子中写道:"除了'Sign up'链接之外,网页中的任何超链接都会被重定向到伪造的微软登录页面。只有这个标签会跳转到合法的微软Outlook'注册'页面,它的地址是hxxps[://]signup.live[.]com。"
如果受害者走到了这一步,输入了他的电子邮件并点击 "下一步",该页面随后会要求输入密码。一旦输入了凭证,用户就会被重定向到微软的OneDrive,里面存放着虚假的 “核武器”文件。
关于Charming Kitten的其他证据
研究人员表示,除了在攻击活动中所使用的攻击策略外,还有其他很多证据能够表明Charming Kitten是攻击的幕后黑手。
研究人员在报告中写道:"Proofpoint团队确定了攻击中使用的域,他们可以 "根据网络基础设施组件、活动时间和引诱文档的相似性,将其归于该组织,这种方式具有很高的可信度"。
他们补充说,在攻击链末端所发现的钓鱼文件也具有相似性。以国家安全为主题,这个是该组织进行攻击的一大特点。
Miller和Proofpoint团队写道:"虽然研究人员无法将这些域名与钓鱼活动直接关联起来,但我们判断这种活动符合该组织的活动特点"
本文翻译自:https://threatpost.com/charming-kitten-pounces-on-researchers/165129/如若转载,请注明原文地址。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
到2027年,5G服务市场规模将超2503亿美元
4月9日消息,近日,全球市场研究机构Acumen Research and Consulting发布了一份题为《5G服务市场——全球行业分析、市场规模、机会和预测,2020-2027》的报告。报告显示,从2020年到2027年,全球5G服务市场预计将以约29.7%的年复合增长率增长,到2027年市场规模将超过2503亿美元。 报告指出,亚太地区预计将快速增长。该地区在不同部门采用新技术方面正在经历一场变革。亚太地区基础设施的扩展,特别是中国、韩国、日本、新加坡等国家,正在增加4G和5G网络的部署,为5G服务的实施创造了巨大机遇。此外,由于移动用户基数庞大,该地区的企业正变得更具竞争力,并专注于提供更好的客户服务。 5G网络提供了增强的宽带体验,速度高达1 Gbps,延迟10ms,以及一个基于云和人工智能的服务平台。IT和电信、零售、医疗保健、汽车、媒体和娱乐、金融和农业都有不同的服务需求,例如高带宽、低功耗、超低延迟和高速。为了满足日益增长的移动宽带业务需求,必须利用新的频谱来增加网络容量,这将导致5G核心的广泛采用和5G技术的部署,以增强移动宽带业务。 推动5G服务市场的因素包括物联...
- 下一篇
83%的企业曾遭受固件攻击,仅29%分配了固件防护预算
近日,微软发布了名为《Security Signals》的研究报告。报告显示,过去两年中,83%的组织至少遭受了一次固件攻击,而只有29%的组织分配了预算来保护固件。 调查中大部分公司都表示,他们是固件攻击的受害者,但相关保护的支出是相当滞后的。微软调查了来自中国、德国、日本、英国和美国的1000个企业安全决策者,组织的大多数安全投资都用于安全更新、漏洞扫描和高级威胁防护。 许多组织仍担心恶意软件访问其系统以及检测威胁的难度,而固件更难以监视和控制,缺乏意识和缺乏自动化也加剧了固件漏洞的威胁。 固件是一类特定的计算机软件,可为设备的特定硬件提供底层控制。因为固件通常会包含敏感信息,例如凭据和加密密钥,所以固件通常会成为攻击者的目标。美国国家标准技术研究院(NIST)的国家漏洞数据库(NVD)的数据也证实了这一问题,在过去的四年中,针对固件的攻击增加了五倍以上。 对固件保护技术的投资也是不够的,如内核数据保护(KDP)或内存加密。 “基于硬件的安全性功能可阻止恶意软件或恶意攻击者破坏操作系统的内核内存或在运行时读取该内存,这是针对内核的复杂攻击的准备”——报告显示。“只有36%的企业投资...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8编译安装MySQL8.0.19
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS7安装Docker,走上虚拟化容器引擎之路
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- Mario游戏-低调大师作品
- 2048小游戏-低调大师作品
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2整合Thymeleaf,官方推荐html解决方案