【安全圈】伊朗間諜活動以記者、外交官和活動人士為目標(biāo)|全球播報(bào)

關(guān)鍵詞

(資料圖片僅供參考)

網(wǎng)絡(luò)安全

研究人員發(fā)現(xiàn)了針對在中東工作的人權(quán)活動家、記者、外交官和政治家的網(wǎng)絡(luò)間諜活動。

多個安全實(shí)驗(yàn)室一起進(jìn)行的聯(lián)合技術(shù)分析非常有信心地將這次活動歸因于一個黑客組織，包括谷歌、Mandiant、Recorded Future 和 Proofpoint 在內(nèi)的許多專業(yè)公司都表示該組織由伊朗政府贊助。

在確定并聯(lián)系了十幾名不知道自己的帳戶已被盜用的受害者后，HRW 呼吁谷歌加強(qiáng)其為 Gmail 用戶提供的安全保護(hù)，這些用戶的登錄憑據(jù)作為社會工程和網(wǎng)絡(luò)釣魚活動的一部分被盜。

10 月，一名專注于中東和北非事務(wù)的工作人員通過 WhatsApp 收到了一名自稱黎巴嫩智庫工作的可疑聯(lián)系，邀請他們出席一個會議。

此人最終通過應(yīng)用程序向目標(biāo)發(fā)送了一個網(wǎng)絡(luò)釣魚鏈接，該鏈接將他們引導(dǎo)至一個虛假的 Microsoft 登錄頁面，該頁面模仿真實(shí) Office 365 帳戶登錄界面，使用curly.biz鏈接縮短服務(wù)。

偽造 MICROSOFT 登錄頁面

該頁面旨在捕獲目標(biāo)的電子郵件密碼和任何輔助身份驗(yàn)證代碼，盡管網(wǎng)絡(luò)釣魚工具包無法使用FIDO 協(xié)議繞過基于硬件的身份驗(yàn)證密鑰。

研究人員發(fā)現(xiàn)了 44 個有效的 URL，其中許多重定向到偽裝成看起來像 Microsoft、Google 或 Yahoo 登錄頁面的網(wǎng)絡(luò)釣魚頁面，這些頁面顯示了目標(biāo)的電子郵件地址。

模仿 YAHOO 的 LONGIN 頁面的釣魚網(wǎng)站

研究人員聯(lián)系了 18 名被確認(rèn)身份的“知名人士”，其中包括 6 名記者。其中 15 人回復(fù)并確認(rèn)他們在 9 月 15 日至 11 月 25 日期間收到了相同的 WhatsApp 消息。

這些人中至少有三人的電子郵件帳戶、云存儲驅(qū)動器、日歷和聯(lián)系人因黑客攻擊而受損。攻擊者“還執(zhí)行了 Google Takeout，使用從 Google 帳戶的核心服務(wù)和附加服務(wù)導(dǎo)出數(shù)據(jù)的服務(wù)”，從受害者的帳戶中竊取大量數(shù)據(jù)。

關(guān)鍵詞： 安全圈伊朗間諜活動以記者、外交官和活動人士為目標(biāo)