Persian Stalker攻击Instagram和Telegram的伊朗用户
一、简介
那些具有国家背景的攻击者拥有许多不同的技术可以远程访问社交媒体和安全消息应用程序。从2017年开始到2018年,思科Talos已经观察到多种不同的技术被用来攻击用户并窃取私人信息。这些技术包括使用假登录页面、伪装成合法对手的恶意应用程序和BGP劫持,专门针对安全消息应用程序Telegram和社交媒体Instagram的伊朗用户。
Telegram在伊朗已经成为灰色软件的热门目标,该应用程序估计有4000万用户。虽然它主要用于日常交流,但抗议组织过去也曾用它来组织针对伊朗政府的示威活动,特别是在2017年12月。在少数情况下,伊朗政府要求Telegram关闭某些“促进暴力”的频道。自2017年以来,本文中概述的策略一直在使用,旨在收集有关Telegram和Instagram用户的信息。这些活动的复杂性、资源需求和方法各不相同。下面,我们概述网络攻击、应用程序克隆和经典网络钓鱼的示例。我们相信,这些活动被用于专门针对Telegram应用程序的伊朗用户,以窃取个人和登录信息。
安装后,即使用户在使用合法的Telegram应用程序,其中一些Telegram“克隆”也可以访问移动设备的完整联系人列表和消息。在安装虚假的Instagram应用程序的情况下,恶意软件将完整的会话数据发送回后端服务器,这允许攻击者完全控制正在使用的帐户。我们高度自信的将这些应用程序应归类为“灰色软件”。它不具有恶意目的,不能被归类为恶意软件,但可疑性足以被视为潜在有害程序(PUP)。这种软件很难检测,因为它通常满足用户期望的功能(例如发送消息)。这种软件唯一能够被安全研究人员检测到,如果它在其他地方产生恶劣影响。Talos最终发现了几款可能用于影响深远的攻击行动的软件。我们相信此灰色软件有可能降低使用这些应用程序的移动用户的隐私和安全性。我们的研究表明,其中一些应用程序将数据发送回主机服务器,或者被位于伊朗的IP地址以某种方式进行控制,即使这些设备位于国外也是如此。
我们在伊朗攻击中看到的另一种方法是创建虚假登录页面。尽管这不是一种先进的技术,但对于那些不了解网络安全的用户来说,它是有效的。像“Charming Kitten”这样的伊朗组织一直在使用这种技术,目标是安全消息应用程序。一些攻击者也在劫持设备的BGP协议。该技术重定向所有路由器的流量,而不考虑这些新路由的原始路由。为了劫持BGP,需要与互联网服务提供商(ISP)进行某种合作,并且很容易检测到,因此新的路由将不会在很长时间到位。
Talos没有在观察到的几次攻击之间找到一个牢固的联系,但所有这些攻击都针对伊朗及其国民和Telegram应用程序。虽然这篇文章的重点是伊朗,但全球的移动用户仍然需要意识到,这些技术可以被任何国家的威胁行为者使用,无论国家赞助与否。这在伊朗和俄罗斯等国家尤为普遍,在这些国家,Telegram等应用程序被禁止。开发人员创建的克隆版本出现在官方和非官方应用程序商店,克隆Telegram的服务。
普通用户无法对BGP劫持做任何事情,但使用官方应用程序商店中的合法应用程序可降低风险。同样的规则适用于克隆的应用程序,从不受信任的来源安装应用程序意味着用户必须意识到面临一定程度的风险。在这两种情况下,当应用程序是非官方的“增强功能”应用程序时,即使它们在官方Google Play商店中可用,这种风险也会大大增加。
二、策略
(一) 功能增强型应用程序(灰色软件)
1. andromedaa.irTalos确定了一家完全专注于伊朗市场的软件开发商。开发商在iOS和Android平台上都使用“andromedaa.ir”这个名称。它开发的软件旨在增加用户在Instagram等社交媒体网络上的曝光率,以及某些Telegram频道上的伊朗用户数量。
在查看网站,更具体地说是安装链接时,显然这些应用程序都没有在官方应用程序商店(谷歌或苹果)中发布,这可能是由于美国政府对伊朗实施的制裁。
Whois查询andromedaa.ir
andromedaa.ir域名已使用h0mayun@outlook.com电子邮件进行注册。此电子邮件也用于为克隆的Instagram和Telegram应用程序注册其他域名(请参阅下面的其他部分)。
Talos在分析与域名andromedaa [.] com相关的whois信息后识别出多个域名,除了一个之外都使用相同的电话号码注册。
发现的部分域名列表
我们扫描了与上述域名相关的IP地址,所有IP均使用了SSL证书模式。
证书信息
分析此SSL证书发现了另一个域名——flbgr [.] com ,其whois信息受隐私保护。根据SSL证书中这些值的低流行度,Talos将此域名与高可信度的同一威胁行为者相关联。域名flbgr [.] com于2018年8月6日注册,是最近注册的域名,IP地址解析为145.239.65 [.] 25。 Cisco Farsight数据显示其他域名也解析为相同的IP地址。
解析为相同ip地址的域名
之后,Talos发现了一个SSL证书,CN为followerbegir [.] ir,其中包含sha256指纹。我们还发现了另一个与之非常类似的证书。然而,似乎有两个拼写错误:一个在CN字段“followbeg.ir”中,另一个在OU字段中,它被标识为“andromeda”,而不是andromedaa。
一、简介
那些具有国家背景的攻击者拥有许多不同的技术可以远程访问社交媒体和安全消息应用程序。从2017年开始到2018年,思科Talos已经观察到多种不同的技术被用来攻击用户并窃取私人信息。这些技术包括使用假登录页面、伪装成合法对手的恶意应用程序和BGP劫持,专门针对安全消息应用程序Telegram和社交媒体Instagram的伊朗用户。
Telegram在伊朗已经成为灰色软件的热门目标,该应用程序估计有4000万用户。虽然它主要用于日常交流,但抗议组织过去也曾用它来组织针对伊朗政府的示威活动,特别是在2017年12月。在少数情况下,伊朗政府要求Telegram关闭某些“促进暴力”的频道。自2017年以来,本文中概述的策略一直在使用,旨在收集有关Telegram和Instagram用户的信息。这些活动的复杂性、资源需求和方法各不相同。下面,我们概述网络攻击、应用程序克隆和经典网络钓鱼的示例。我们相信,这些活动被用于专门针对Telegram应用程序的伊朗用户,以窃取个人和登录信息。
安装后,即使用户在使用合法的Telegram应用程序,其中一些Telegram“克隆”也可以访问移动设备的完整联系人列表和消息。在安装虚假的Instagram应用程序的情况下,恶意软件将完整的会话数据发送回后端服务器,这允许攻击者完全控制正在使用的帐户。我们高度自信的将这些应用程序应归类为“灰色软件”。它不具有恶意目的,不能被归类为恶意软件,但可疑性足以被视为潜在有害程序(PUP)。这种软件很难检测,因为它通常满足用户期望的功能(例如发送消息)。这种软件唯一能够被安全研究人员检测到,如果它在其他地方产生恶劣影响。Talos最终发现了几款可能用于影响深远的攻击行动的软件。我们相信此灰色软件有可能降低使用这些应用程序的移动用户的隐私和安全性。我们的研究表明,其中一些应用程序将数据发送回主机服务器,或者被位于伊朗的IP地址以某种方式进行控制,即使这些设备位于国外也是如此。
内容来自无奈安全网
我们在伊朗攻击中看到的另一种方法是创建虚假登录页面。尽管这不是一种先进的技术,但对于那些不了解网络安全的用户来说,它是有效的。像“Charming Kitten”这样的伊朗组织一直在使用这种技术,目标是安全消息应用程序。一些攻击者也在劫持设备的BGP协议。该技术重定向所有路由器的流量,而不考虑这些新路由的原始路由。为了劫持BGP,需要与互联网服务提供商(ISP)进行某种合作,并且很容易检测到,因此新的路由将不会在很长时间到位。
Talos没有在观察到的几次攻击之间找到一个牢固的联系,但所有这些攻击都针对伊朗及其国民和Telegram应用程序。虽然这篇文章的重点是伊朗,但全球的移动用户仍然需要意识到,这些技术可以被任何国家的威胁行为者使用,无论国家赞助与否。这在伊朗和俄罗斯等国家尤为普遍,在这些国家,Telegram等应用程序被禁止。开发人员创建的克隆版本出现在官方和非官方应用程序商店,克隆Telegram的服务。
普通用户无法对BGP劫持做任何事情,但使用官方应用程序商店中的合法应用程序可降低风险。同样的规则适用于克隆的应用程序,从不受信任的来源安装应用程序意味着用户必须意识到面临一定程度的风险。在这两种情况下,当应用程序是非官方的“增强功能”应用程序时,即使它们在官方Google Play商店中可用,这种风险也会大大增加。 无奈人生安全网
二、策略
(一) 功能增强型应用程序(灰色软件)
1. andromedaa.irTalos确定了一家完全专注于伊朗市场的软件开发商。开发商在iOS和Android平台上都使用“andromedaa.ir”这个名称。它开发的软件旨在增加用户在Instagram等社交媒体网络上的曝光率,以及某些Telegram频道上的伊朗用户数量。
在查看网站,更具体地说是安装链接时,显然这些应用程序都没有在官方应用程序商店(谷歌或苹果)中发布,这可能是由于美国政府对伊朗实施的制裁。
Whois查询andromedaa.ir
andromedaa.ir域名已使用h0mayun@outlook.com电子邮件进行注册。此电子邮件也用于为克隆的Instagram和Telegram应用程序注册其他域名(请参阅下面的其他部分)。
Talos在分析与域名andromedaa [.] com相关的whois信息后识别出多个域名,除了一个之外都使用相同的电话号码注册。
发现的部分域名列表
我们扫描了与上述域名相关的IP地址,所有IP均使用了SSL证书模式。
证书信息
分析此SSL证书发现了另一个域名——flbgr [.] com ,其whois信息受隐私保护。根据SSL证书中这些值的低流行度,Talos将此域名与高可信度的同一威胁行为者相关联。域名flbgr [.] com于2018年8月6日注册,是最近注册的域名,IP地址解析为145.239.65 [.] 25。 Cisco Farsight数据显示其他域名也解析为相同的IP地址。
解析为相同ip地址的域名
之后,Talos发现了一个SSL证书,CN为followerbegir [.] ir,其中包含sha256指纹。我们还发现了另一个与之非常类似的证书。然而,似乎有两个拼写错误:一个在CN字段“followbeg.ir”中,另一个在OU字段中,它被标识为“andromeda”,而不是andromedaa。 无奈人生安全网
本文来自无奈人生安全网