Charming Kitten王者归来
前言概述
网络钓鱼攻击是受伊朗政府支持的黑客惯用的攻击手段。我们对最新的网络钓鱼攻击进行了跟踪,并将其命名为“The Return of The Charming Kitten”。
这起攻击的目标是那些曾参与对伊朗的经济和军事进行制裁的人士以及世界各国的政治家、公民、人权倡导者和新闻工作者。
根据分析,我们认为攻击者将那些开启2步验证的用户的email账户和验证码作为目标。防范此类攻击,使用Yubikey等加密设备是很有效的。
简介
在2018年10月初,推特用户MD0ugh揭露了一起伊朗黑客针对美国金融机构基础设施的网络钓鱼攻击。他推测这可能是伊朗遭受美国新的制裁后进行的反击。
该用户还提到了一个域名:accounts[-]support[.]services。这个域名与一些由伊朗政府支持的黑客有联系。我们认为这些黑客和之前曾报道过的伊斯兰革命卫队(IRGC)存在关联。
距这些活动发生一个月后,运营accounts-support[.]services的黑客们扩大了攻击规模,开始针对民权和人权活动家、政治人士以及伊朗和西方的新闻工作者攻击。
攻击手段
根据我们的调查,攻击者采用不同的手段实施攻击,主要分为以下2种:
通过未知邮件、社交媒体及消息账户进行钓鱼攻击
通过已经被黑客入侵的公众人物的邮箱、社交媒体及消息账户进行钓鱼攻击
我们还发现在进行网络钓鱼攻击之前,黑客会搜集目标的个人信息。黑客会根据目标的网络安全水平、联系人、活动、工作时间、地理位置等信息为每个目标设计具体的攻击计划。
我们注意到,不同于以往的钓鱼攻击,在最新的攻击活动中黑客并不会修改受害者的账户密码,这使他们能在不被发现的同时保持对受害者的电子邮件通信进行实时监控。
虚假的未授权访问警告
对网络钓鱼攻击样本进行分析,这些黑客主要使用电子邮件发送虚假警报对目标进行欺骗,例如通过notifications.mailservices@gmail[.]com, noreply.customermails@gmail[.]com, customer]email-delivery[.]info等向目标发出信息,提示说有未经授权的个人试图登陆他们的帐户。
图1:真假页面链接对比
通过使用这种方法,攻击者伪装成邮件服务商向目标发送安全警报,用户会立即点击“目标链接”查看详细信息,来对可疑访问进行限制。
Google Drive虚假文件共享
发送带有标题的链接(例如来自Google Drive的共享文件)是近年来黑客使用的最常见的技巧之一。与之前的攻击相比,这些攻击的独特之处在于他们使用了看似为Google 站点的页面,黑客构造虚假的Google Drive下载页面来欺骗用户,使受害者认为这一个真正的Google Drive页面,不存在安全问题。
图2:虚假Google Drive文件共享页面
例如,黑客使用hxxps://sites.google[.]com/view/sharingdrivesystem来欺骗用户,用户会因为在浏览器的地址栏中看到了google.com而相信该网页是真正的 Google Drive。
通过伪造具有相同界面的Google Drive文件共享页面,黑客假装与用户共享文件,用户本应该下载并运行共享的文件。然而该页面没有任何文件,他们使用入侵的Twitter,Facebook和Telegram帐户发送这些链接来寻找新的受害者。通过此页面将目标用户定向到虚假的谷歌登录页面,诱使用户输入身份验证信息。
攻击流程
恶意链接
受信任阶段:互联网用户都认为谷歌的主域(google.com)是安全可靠的,攻击者正是利用用户的这种心理,在sites.google.com(Google的子域)上构造虚假页面来欺骗用户。Google提供的网站服务使用户能够在其上显示各种内容。攻击者使用此功能发送虚假警报并将受害者重定向到不安全的网站或嵌入网络钓鱼链接的页面。
图4:攻击者如何滥用site.google.com
非受信任阶段:由于Google可以快速识别并删除sites.google.com上的可疑链接和恶意链接,所以黑客会使用自己的网站进行伪造,进行攻击。钓鱼网站的链接几年前的网络钓鱼活动曾使用的链接非常类似。例如,攻击者在域名或网络钓鱼URL中使用诸如“management”, “customize”, “service”, “identification”, “session”, “confirm” 等关键词来欺骗那些想要验证自己网址的用户。
邮件中的可点击图片
黑客在电子邮件正文中并不是文本,而是使用图片来绕过谷歌的安全检测和反网络钓鱼系统。为此,攻击者还使用第三方服务(如Firefox屏幕截图)来对图片进行托管。
图5:虚假警报图片示例
隐藏的跟踪图片
攻击者在邮件正文中单独隐藏了其他图片,以便在受害者打开电子邮件时收到通知。通过这种技巧,黑客可以在目标打开电子邮件并点击网络钓鱼链接后立即采取行动。
钓鱼页面
除了恶意邮件和钓鱼链接之外,攻击者还在定制化平台创建相应条目来存储受害者的凭据信息。我们还注意到他们针对Google和Yahoo!,设计了PC和移动端的钓鱼页面,可能在将来进行下一系列的攻击。
在最近的攻击中,攻击者使用了一种有趣的技术,一旦受害者输入了用户名和密码,攻击者将立即对这些凭据进行验证,如果信息正确无误,那么他们就会要求提供2步验证码。
前言概述
网络钓鱼攻击是受伊朗政府支持的黑客惯用的攻击手段。我们对最新的网络钓鱼攻击进行了跟踪,并将其命名为“The Return of The Charming Kitten”。
这起攻击的目标是那些曾参与对伊朗的经济和军事进行制裁的人士以及世界各国的政治家、公民、人权倡导者和新闻工作者。
根据分析,我们认为攻击者将那些开启2步验证的用户的email账户和验证码作为目标。防范此类攻击,使用Yubikey等加密设备是很有效的。
简介
在2018年10月初,推特用户MD0ugh揭露了一起伊朗黑客针对美国金融机构基础设施的网络钓鱼攻击。他推测这可能是伊朗遭受美国新的制裁后进行的反击。
该用户还提到了一个域名:accounts[-]support[.]services。这个域名与一些由伊朗政府支持的黑客有联系。我们认为这些黑客和之前曾报道过的伊斯兰革命卫队(IRGC)存在关联。
距这些活动发生一个月后,运营accounts-support[.]services的黑客们扩大了攻击规模,开始针对民权和人权活动家、政治人士以及伊朗和西方的新闻工作者攻击。
攻击手段
根据我们的调查,攻击者采用不同的手段实施攻击,主要分为以下2种: copyright 无奈人生
通过未知邮件、社交媒体及消息账户进行钓鱼攻击
通过已经被黑客入侵的公众人物的邮箱、社交媒体及消息账户进行钓鱼攻击
我们还发现在进行网络钓鱼攻击之前,黑客会搜集目标的个人信息。黑客会根据目标的网络安全水平、联系人、活动、工作时间、地理位置等信息为每个目标设计具体的攻击计划。
我们注意到,不同于以往的钓鱼攻击,在最新的攻击活动中黑客并不会修改受害者的账户密码,这使他们能在不被发现的同时保持对受害者的电子邮件通信进行实时监控。
虚假的未授权访问警告
对网络钓鱼攻击样本进行分析,这些黑客主要使用电子邮件发送虚假警报对目标进行欺骗,例如通过notifications.mailservices@gmail[.]com, noreply.customermails@gmail[.]com, customer]email-delivery[.]info等向目标发出信息,提示说有未经授权的个人试图登陆他们的帐户。
图1:真假页面链接对比
通过使用这种方法,攻击者伪装成邮件服务商向目标发送安全警报,用户会立即点击“目标链接”查看详细信息,来对可疑访问进行限制。 www.wnhack.com
Google Drive虚假文件共享
发送带有标题的链接(例如来自Google Drive的共享文件)是近年来黑客使用的最常见的技巧之一。与之前的攻击相比,这些攻击的独特之处在于他们使用了看似为Google 站点的页面,黑客构造虚假的Google Drive下载页面来欺骗用户,使受害者认为这一个真正的Google Drive页面,不存在安全问题。
图2:虚假Google Drive文件共享页面
例如,黑客使用hxxps://sites.google[.]com/view/sharingdrivesystem来欺骗用户,用户会因为在浏览器的地址栏中看到了google.com而相信该网页是真正的 Google Drive。
通过伪造具有相同界面的Google Drive文件共享页面,黑客假装与用户共享文件,用户本应该下载并运行共享的文件。然而该页面没有任何文件,他们使用入侵的Twitter,Facebook和Telegram帐户发送这些链接来寻找新的受害者。通过此页面将目标用户定向到虚假的谷歌登录页面,诱使用户输入身份验证信息。
攻击流程
恶意链接
受信任阶段:互联网用户都认为谷歌的主域(google.com)是安全可靠的,攻击者正是利用用户的这种心理,在sites.google.com(Google的子域)上构造虚假页面来欺骗用户。Google提供的网站服务使用户能够在其上显示各种内容。攻击者使用此功能发送虚假警报并将受害者重定向到不安全的网站或嵌入网络钓鱼链接的页面。
图4:攻击者如何滥用site.google.com
非受信任阶段:由于Google可以快速识别并删除sites.google.com上的可疑链接和恶意链接,所以黑客会使用自己的网站进行伪造,进行攻击。钓鱼网站的链接几年前的网络钓鱼活动曾使用的链接非常类似。例如,攻击者在域名或网络钓鱼URL中使用诸如“management”, “customize”, “service”, “identification”, “session”, “confirm” 等关键词来欺骗那些想要验证自己网址的用户。
邮件中的可点击图片
黑客在电子邮件正文中并不是文本,而是使用图片来绕过谷歌的安全检测和反网络钓鱼系统。为此,攻击者还使用第三方服务(如Firefox屏幕截图)来对图片进行托管。
内容来自无奈安全网
图5:虚假警报图片示例
隐藏的跟踪图片
攻击者在邮件正文中单独隐藏了其他图片,以便在受害者打开电子邮件时收到通知。通过这种技巧,黑客可以在目标打开电子邮件并点击网络钓鱼链接后立即采取行动。
钓鱼页面
除了恶意邮件和钓鱼链接之外,攻击者还在定制化平台创建相应条目来存储受害者的凭据信息。我们还注意到他们针对Google和Yahoo!,设计了PC和移动端的钓鱼页面,可能在将来进行下一系列的攻击。
在最近的攻击中,攻击者使用了一种有趣的技术,一旦受害者输入了用户名和密码,攻击者将立即对这些凭据进行验证,如果信息正确无误,那么他们就会要求提供2步验证码。