伪装成以色列网络安全公司的伊朗老牌 APT 是如何露馅的?
翻译:360代码卫士团队
一个试图伪装成网络安全公司的伊朗 APT 组织不慎暴露了此前的钓鱼攻击活动。
这个伊朗 APT 组织即 Charming Kitten(或称 Newscaster 或 Newsbeef)。
伊朗 APT组织注册相似域名
以色列安全公司 ClearSky Security 指出,该 APT 组织复制了其官方网站并托管在 clearskysecurity.net 上,这个域名类似于位于 ClearSky.com 上的官方 ClearSky 网站。
ClearSky 指出,“Charming Kitten 构建了一个模仿我们公司的钓鱼网站。他们从公共网站上复制了网页并将其中一个网页更改为含有多个服务‘登录’选项的网页。”该公司表示,这些登录选项都是钓鱼网站,能将受害者的凭证发送给攻击者;而合法的官方网站并没有登录选项。
钓鱼网站从未建成或使用过
当 ClearSky 公司的研究员发现了这个虚假站点时,Charming Kitten 仍然在构建网站。ClearSky 公司表示当时某些页面还含有出错信息。
另外,Charming Kitten 在 ClearSky 于6月12日摒弃的一台老旧服务器上托管虚假的 clearskysecurity.net 域名。ClearSky 公司表示从该域名托管的老旧活动中找到了这些网页,这清楚地说明该 APT 组织是虚假网站的背后黑手。
ClearSky 公司表示由于网站尚未建成,因此认为伊朗黑客并未设法成功钓鱼。该网站存活的时间并不长,它被安全浏览 API 标记为可疑站点,几小时后被迫脱机。
伊朗老牌 APT 组织
Charming Kitten APT 组织是在野检测到的首批伊朗国家黑客组织之一。该组织在近年来非常活跃,曾发动 Saffron Rose、Newscaster、StoneDrill 等黑客活动。
该组织在历史上曾针对伊朗和美国目标发动攻击,而且主要实施的是鱼叉式钓鱼攻击。去年该组织创建了 StoneDrill 擦除器后才更改技术手段。
伊朗人 Behzad Mesri 在美国被起诉入侵 HBO 以及窃取《权力游戏》文件,而他被认为是 Charming Kitten APT 的成员。
Charming Kitten 是伊朗的一个网络间谍组织,其它间谍组织包括 Rocket Kitten (很多研究人员认为它是 Charming Kitten 2.0)、CopyKitten、OilRig 和 Magic Hound。
最初,这些黑客组织是由军队人员和私营部门的合同工组建而成,每个黑客组织都独立行动。不过近年来,这些组织之间的界限变得越来越模糊,它们开始共享相同的运营资源如钓鱼工具包、服务器甚至是攻击人员等。
关联阅读
原文链接
https://www.bleepingcomputer.com/news/security/iranian-apt-poses-as-israeli-cyber-security-firm-that-exposed-its-operations/
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。