重出水面:伊朗背景恶意组织新型网络钓鱼攻击分析
一、概述
网络钓鱼攻击,向来是具有伊朗背景的恶意组织用于获取账户的最常见渗透形式。CERTFA分析了该恶意组织最新的网络钓鱼攻击活动,该攻击被称为“迷人小猫的归来”(The Return of The Charming Kitten)。
在此次恶意活动中,恶意组织主要针对参与对伊朗经济和军事制裁的组织,以及世界范围内的特定政治家、公民、人权活动家和记者。
通过CERTFA的调查表明,攻击者明确清楚受害者会使用两步验证(Two-step Verification),包括验证码和电子邮件帐户(例如Yahoo!和Gmail)。基于这一点,CERTFA认为,这些攻击的最有效方法,就是使用YubiKey等安全密钥。
二、背景
在2018年10月初,Twitter用户 @MD0ugh 发现一群伊朗黑客针对美国金融机构基础设施进行网络钓鱼攻击。据这名用户说,这些袭击可能是针对美国对伊朗新一轮制裁的反击。
该用户首次提到了地址为accounts[-]support[.]services的域名,该域名与伊朗政府支持的一个黑客组织有关,我们相信这些黑客与伊斯兰革命卫队(IRGC)关系密切。ClearSky此前已经发布有关其活动的详细报告。
在这些攻击发生的一个月后,accounts-support[.]services的管理员就扩大了他们的活动范围,并且开始针对民权与人权活动家、政治人物、伊朗和西方的记者发动攻击。
三、攻击方法
我们的调查表明,攻击者正在利用不同的方式进行攻击,这些方式可以大致分为两类:
1、通过未知的电子邮件、社交媒体、消息帐号进行网络钓鱼攻击。
2、攻击者首先攻陷公众任务的电子邮件、社交媒体、消息帐号,然后利用它们进行网络钓鱼攻击。
我们还发现,攻击者在进行网络钓鱼攻击之前,首先收集了有关其目标的信息。攻击者根据目标的网络知识水平、联系人、活动、工作时间和地理位置,为每个目标设置了具体的计划。
我们还注意到,与此前的网络钓鱼活动不同,在某些情况下,攻击者在最新一轮攻击中,没有更改受害者帐户的密码。这样一来,攻击者的攻击行为就能够尽可能隐蔽,同时也能通过邮箱实时监控受害者的电子邮件通信。
3.1 发送“未经授权访问”的虚假警告
根据网络钓鱼攻击的样本,我们发现攻击者用于欺骗目标的主要技巧是通过邮件方式发送虚假的警报。发件人包括 notifications.mailservices@gmail[.]com 、 noreply.customermails@gmail[.]com 、 customer]email-delivery[.]info 等等,邮件内容大致是说明未经授权的个人试图访问用户的帐户。
通过使用这种手段,攻击者假装电子邮件提供商,向目标发送安全警报,并诱导用户立即点击查看并限制可以访问。在目标链接部分提供了更多的详细信息。
3.2 伪装成Google云盘上的文件共享
发送带有标题的链接(例如来自Google云盘的共享文件)是黑客近年来经常使用的技巧之一。与之前的攻击相比,这些攻击的独特之处是在于它们使用Google Site,其允许攻击者展示Google Drive的虚假下载页面,并诱使用户认为它是一个真正的Google Drive页面。
例如,攻击者使用hxxps://sites.google[.]com/view/sharingdrivesystem来欺骗用户,并说服他们该网页是真正的Google云盘,用户也可以在浏览器的地址栏中看到“google.com”的字样。CERTFA已经报告此链接,以及其他与Google相似的链接,目前这些链接已经被清理。
通过创建具有相同设计和外观的Google云盘文件共享页面,攻击者可以假装与用户共享文件,诱导用户下载文件并在其设备上运行。随后,攻击者使用其攻陷的Twitter、Facebook和Telegram帐户发送恶意链接,并进一步传播给新的用户。事实上,这一过程中没有任何文件产生,攻击者利用这一页面将其目标定向到假的Google登录页面,诱使用户输入他们的凭证详细信息,包括双因素身份验证。
四、攻击结构
目前来说,大多数攻击都是通过网络钓鱼邮件来实现的。因此,在最近的网络钓鱼恶意活动中,查看原始邮件会对我们的分析过程很有帮助。
4.1 目标链接
1、值得信赖的阶段:全球互联网用户都认为Google的主域名(google.com)是一个安全可靠的地址。但攻击者滥用这一事实,在sites.google.com(Google的子域名)上创建虚假页面,来欺骗大众。Google的网站服务使用户能够在上面显示各种内容。攻击者如果利用此功能发送虚假警报,并将目标重定向到不安全的网站,或者将嵌入式网络钓鱼页面作为页面上的iframe。
2、不受信任的阶段:由于Google可以快速识别并删除sites.google.com上的可疑链接和恶意链接,因此攻击者也可以使用自己的网站。网络钓鱼网站的链接与过去几年的早期网络钓鱼活动具有相似的模式。例如,攻击者会在域名和网络钓鱼URL中使用诸如“管理”、“自定义”、“服务”、“标识”、“会话”、“确认”这类字词,来欺骗想要验证其网站地址的用户。
4.2 电子邮件中可点击的图像
为了绕过Google的安全系统和反网络钓鱼系统,攻击者在他们的电子邮件正文中使用了图像,以此来替换文本。为此,攻击者还使用Firefox Screenshot4等第三方软件来托管他们的电子邮件图像。
一、概述
网络钓鱼攻击,向来是具有伊朗背景的恶意组织用于获取账户的最常见渗透形式。CERTFA分析了该恶意组织最新的网络钓鱼攻击活动,该攻击被称为“迷人小猫的归来”(The Return of The Charming Kitten)。
在此次恶意活动中,恶意组织主要针对参与对伊朗经济和军事制裁的组织,以及世界范围内的特定政治家、公民、人权活动家和记者。
通过CERTFA的调查表明,攻击者明确清楚受害者会使用两步验证(Two-step Verification),包括验证码和电子邮件帐户(例如Yahoo!和Gmail)。基于这一点,CERTFA认为,这些攻击的最有效方法,就是使用YubiKey等安全密钥。
二、背景
在2018年10月初,Twitter用户 @MD0ugh 发现一群伊朗黑客针对美国金融机构基础设施进行网络钓鱼攻击。据这名用户说,这些袭击可能是针对美国对伊朗新一轮制裁的反击。
该用户首次提到了地址为accounts[-]support[.]services的域名,该域名与伊朗政府支持的一个黑客组织有关,我们相信这些黑客与伊斯兰革命卫队(IRGC)关系密切。ClearSky此前已经发布有关其活动的详细报告。
在这些攻击发生的一个月后,accounts-support[.]services的管理员就扩大了他们的活动范围,并且开始针对民权与人权活动家、政治人物、伊朗和西方的记者发动攻击。 www.wnhack.com
三、攻击方法
我们的调查表明,攻击者正在利用不同的方式进行攻击,这些方式可以大致分为两类:
1、通过未知的电子邮件、社交媒体、消息帐号进行网络钓鱼攻击。
2、攻击者首先攻陷公众任务的电子邮件、社交媒体、消息帐号,然后利用它们进行网络钓鱼攻击。
我们还发现,攻击者在进行网络钓鱼攻击之前,首先收集了有关其目标的信息。攻击者根据目标的网络知识水平、联系人、活动、工作时间和地理位置,为每个目标设置了具体的计划。
我们还注意到,与此前的网络钓鱼活动不同,在某些情况下,攻击者在最新一轮攻击中,没有更改受害者帐户的密码。这样一来,攻击者的攻击行为就能够尽可能隐蔽,同时也能通过邮箱实时监控受害者的电子邮件通信。
3.1 发送“未经授权访问”的虚假警告
根据网络钓鱼攻击的样本,我们发现攻击者用于欺骗目标的主要技巧是通过邮件方式发送虚假的警报。发件人包括 notifications.mailservices@gmail[.]com 、 noreply.customermails@gmail[.]com 、 customer]email-delivery[.]info 等等,邮件内容大致是说明未经授权的个人试图访问用户的帐户。
本文来自无奈人生安全网
通过使用这种手段,攻击者假装电子邮件提供商,向目标发送安全警报,并诱导用户立即点击查看并限制可以访问。在目标链接部分提供了更多的详细信息。
3.2 伪装成Google云盘上的文件共享
发送带有标题的链接(例如来自Google云盘的共享文件)是黑客近年来经常使用的技巧之一。与之前的攻击相比,这些攻击的独特之处是在于它们使用Google Site,其允许攻击者展示Google Drive的虚假下载页面,并诱使用户认为它是一个真正的Google Drive页面。
例如,攻击者使用hxxps://sites.google[.]com/view/sharingdrivesystem来欺骗用户,并说服他们该网页是真正的Google云盘,用户也可以在浏览器的地址栏中看到“google.com”的字样。CERTFA已经报告此链接,以及其他与Google相似的链接,目前这些链接已经被清理。
通过创建具有相同设计和外观的Google云盘文件共享页面,攻击者可以假装与用户共享文件,诱导用户下载文件并在其设备上运行。随后,攻击者使用其攻陷的Twitter、Facebook和Telegram帐户发送恶意链接,并进一步传播给新的用户。事实上,这一过程中没有任何文件产生,攻击者利用这一页面将其目标定向到假的Google登录页面,诱使用户输入他们的凭证详细信息,包括双因素身份验证。
四、攻击结构
目前来说,大多数攻击都是通过网络钓鱼邮件来实现的。因此,在最近的网络钓鱼恶意活动中,查看原始邮件会对我们的分析过程很有帮助。
4.1 目标链接
1、值得信赖的阶段:全球互联网用户都认为Google的主域名(google.com)是一个安全可靠的地址。但攻击者滥用这一事实,在sites.google.com(Google的子域名)上创建虚假页面,来欺骗大众。Google的网站服务使用户能够在上面显示各种内容。攻击者如果利用此功能发送虚假警报,并将目标重定向到不安全的网站,或者将嵌入式网络钓鱼页面作为页面上的iframe。
2、不受信任的阶段:由于Google可以快速识别并删除sites.google.com上的可疑链接和恶意链接,因此攻击者也可以使用自己的网站。网络钓鱼网站的链接与过去几年的早期网络钓鱼活动具有相似的模式。例如,攻击者会在域名和网络钓鱼URL中使用诸如“管理”、“自定义”、“服务”、“标识”、“会话”、“确认”这类字词,来欺骗想要验证其网站地址的用户。 www.wnhack.com
4.2 电子邮件中可点击的图像
为了绕过Google的安全系统和反网络钓鱼系统,攻击者在他们的电子邮件正文中使用了图像,以此来替换文本。为此,攻击者还使用Firefox Screenshot4等第三方软件来托管他们的电子邮件图像。
www.wnhack.com 无奈人生安全网