新2手‘shou’机管理端(www.hg108.vip)_伊朗鱼叉式 shi[网络钓鱼活动针 zhen[对前以色【se】列和美国高级官员

新2手机管理端www.hg108.vip)实时更 geng[新发布最新最快的新2代理线路、新2会员线路、新2备用登录网址、新2手机管理端、新2手机版登录网址、新2皇冠登录网址。

,


Check Point Research发现了最近在伊朗进行的针对前以色列官员、高级军事人员、研究机构的研究员、智库和以色列公民的鱼叉式网络【luo】钓鱼活动。这些攻击使用自定义的网络钓鱼基础设施,以及大量虚假电子邮件帐户来冒充受信任的一方。为了与新目标建立更深层次的信任,攻击者对一些受害者的收件箱执行帐户接管,然后劫持现有的电子邮件对话,从目标和受信任方之间已经存在的电子邮件对话开始攻击,并以这种伪装继续对话。

为了方便他们的鱼叉式网络钓鱼操作,攻击者运“yun”行了一个虚假的 URL 缩短器 Litby[.]us 来伪装网络钓鱼链接,并利用合法的身份验证服务 validation.com 来盗窃身份证件。

在本文中,我们分析了攻击者使用的基础「chu」设施、使用的方法、幕后组织【zhi】以及他们的潜在动机。该行动的明显目的似乎是为了获取受害者的收件箱、他们的个人‘ren’身份信息 (PII) 和他们的身份证件。然而,最近以(yi)色列和伊朗之间不断升级的紧张关系,随后以色列官方公布{bu}的证据显示,伊朗的网络活动是出于黑客攻击以外的考虑,这可能会让我们更多地了解我们在本文中描述的{de}基础设施的真正目的。

该行动的高调目标包括:

齐皮利夫尼——以色列前外交部长和副总理;

曾在以色列国防军(IDF)担「dan」任高度敏感职位的前少将;

以色列一家主要安全智库的主席;

前美国驻以色列大使;

一个著名的中东研究中心的前主席;

以色列国防工业的高级执行官;

初始攻击:鱼叉式网络钓鱼

根据研究人员的观察,攻(gong)击者使用电子邮件通信作为与目标进行初始接触的主要工具。他们经常利用电子邮件线程劫持技术并继续现有的电子邮件线程。线程的延续发生要么从攻击的帐户本身,要么从一个新创建的电子邮件地址,在那里他们复制粘贴一个旧的线程到一个新的电子邮件。

出于冒充的目的,如果攻击者想冒充在 corp.org 工作的 John Doe,他们通常会使用在‘zai’线电子邮件提供商「shang」创建一个新收件箱,格式如下:joe.doe.corp@gmail.com

在许多「duo」情况下,对话都提到了伊朗和以色列的安全问题。

案例一:齐皮利夫尼

齐皮利夫尼是一位以色列政治家、外交官和律师,也是以色列前外交部长、副总理、司‘si’法部长和反对党领袖。

有人冒充以色列国防军著名的前少将通过电子邮件与利夫尼联系,该少将曾担任高度敏感的职位。这封电子邮件是从他的真实电子邮件地址发送的,该地址之前与她有过往来。该电子邮件包含指向攻击者要求她打开和阅读的文件的链接。当她推迟这样做时,攻击者多次接近她,要求她使用她的电子邮件密码打开文件。这引起了她的怀疑。当她遇到前少将并询问他关于电{dian}子邮件的事情时,确〖que〗认他从“cong”未向她发送过这样的 de[电子邮件。然后,她通过 Check Point 调查这一可疑事件。

电子邮件通信:

随后,齐皮利夫尼和攻击者之间进行了几次交流

由于没(mei)有达到目标,攻击者「zhe」在几天后重新开始了网络钓鱼。


随后,他试图说服齐皮利夫尼重置在线密码,但没有成功。

案例二:前大使与安全智库主席

在这个案例中,攻击者冒充一名美国外交官(曾担任美国驻以色列大使),目标是以色列一家主要安全智库的主席。

以下电子邮件通《tong》信发生在两个实体之间真正的复制粘贴线程之后,两周前,从其中一个受害者的收件箱中被盗(电子邮件线程劫持技术)。

电子邮件通信(部分):


与上述“案例 1”中的电子邮件交换类似,攻击者也是缺乏耐心。在该案例中,攻击者发送的最后两条消息之间只有六个小时。

在这两种情况下,电子邮件中带下划线的蓝色文本都是指 zhi[向 Litby[.]us URL 的超链接——一种虚假的 URL 短服务。

Litby——虚假网址(zhi)缩短器

攻击者创建了一个虚假的 URL 缩短服务来促进他们的攻击『ji』。 Litby[.]us,从〖cong〗它的名字来看,显然试图与广泛使用的 Bitly.com URL 缩短器有一些相似之处——它是这些攻击的中心。

直接浏览 Litby[.]us 会显示下面的页面(图 1),它看起来像一个通用的 URL 缩短服务。尽管乍一看是良性的,但该网站并没有任何实际功{gong}能 neng[:尝试创建新的短 URL 会要求你注册该【gai】服务,尝试点击“注册”会要求你发送电子邮「you」件。此时,研究人员开始怀疑攻击者不仅滥用了一个鲜为人知的 URL 缩短器,而且这实际上是一个网站,它是他们基础设施的一部分。

虚假Litby主页

重定向流

在注意到 Litby[.]us 可疑后,研究人员通过 VirusTotal 和其他来源转向该域,以找到各种“缩短”的 URL 路径,例如 litby[.]us/Shagrir(Shagrir 在希伯来语中的意思是大使)。每个这样的 URL 都会将受害者重定向到不同的流。

例如:


重定向本身是使用 JavaScript 实现的,例如攻击者服务器的以下回复:

攻〖gong〗击者服务器上基于 JavaScript 的重定向

在下图中,我们展示了我们在这项研究中观察到的各种重定向链。在接下来的部分中,我们将深入探讨『tao』更有趣的重定向流。

重定向流

每个 URL 路径,起初可能看起来是随机的,都有代表目标的指示符;

网络钓鱼页面是专门为目标定制的;

重定向通常以雅虎等合法服务的登录页面或 OneDrive 和 GoogleDrive 上的{de}某种文档结束;

网络钓鱼页面

这个活动的一个直接目的是获取受害者的收件箱,特别是我们观察到的雅虎收件箱。

网络钓鱼页面包括几个阶段,询问用户他们的帐户 ID,然后是 SMS 代码验证页面。有趣的是,钓鱼页面中截断的电话号码是专门为目标定制的,它与公共记录相对应。研究人员怀疑一旦受害者输入他的帐户 ID,网络钓鱼后端服务器就会向 Yahoo 发送密码恢复请求,而 双{shuang}因素身份验证代码将允许攻击者访问受害者的收件箱。

绕过雅虎双因素身份验证的钓鱼页面

盗窃身份『fen』信息

对于攻击者来说,使用合法服务来发起攻击总是他们的‘de’首选。它节省了资源和自己开发成本,更不用说目标和任何安全解决方案对合法服务的怀疑会更少。在这种情况下,攻击者使用了域名注册巨头NameCheap创建的身份验证服务validation.com,通{tong}过提供直接从网络摄像头扫描ID或文档的选项,或通过上传文件,任何人都可以轻松验证客户的身份。

Validation.com 服务工作流程

在这次活动中,研究人员看到了来自 Litby[.]us 的一个重定向流,它指向了 validation.com 上的 URL,作为分析的一部分,有迹象表‘biao’明攻击者获得了另一个高端目标的 Passport 扫描。该扫描可能是通过相同的方式收集的,这样表明了该技术的有效性。

使用 GHunt 创建更多虚假资料

对Litby[.]us/Maroun的重定向流的调查,展示了更多攻击的手段,攻击者可能将各类信息都用作网络钓鱼操作的诱饵。这个重定向链最终出现在 Google Docs 上的一份良性文档(希伯来语)中,讨论了以色列关于伊朗核计划的战略。该文件只是耶路撒冷战略与安全研究所 (JISS) 在线发布的一份副本,攻击者可能只是用「yong」它来挑起对话。

发送到其中一个目标以开始对话的诱饵文档

当我们使用 GHunt(Google 帐户的 OSINT 框架)分析上述 Google 文档时,我们能够找到有关用于托管此文档的帐户的更多详细信息。

GHunt 输出向我们展示了攻击者可能用来冒充耶路撒冷战略与安全研究所 (JISS) 教授的 Gmail 电子邮件帐户。

Google Docs URL 的《de》 GHunt 输出

国外邀请

在另一个重定{ding}向链中,受害者登陆一个页面,邀请他们参加海外(wai)“滑雪者圆桌会议”活动,如下所示:

向其中一个目标发送的国外活动邀请

滚动到页面的最后,受害者会看到两个按钮,都指向相同的重定向链,以一个虚假的企业登录过程结束。

虚假邀请结束时的操作项

在几次模拟Microsoft SSO身份验证的虚假重定向屏幕之后,受害者会收到一条消息,称“访问被拒绝”。要求发送者给你访问权限。可能会让受害者进一步与电子邮件沟通,创造机会要求进一步的信息,或支持窃取凭据的企图。

虚假登录流后的“拒绝访问”消息

幕后组织

之所以说幕后组织是伊朗,原因有:

1.主要目标:以色列官员一直是伊“yi”朗针对的主要目标。

2.与伊朗的Phosphorus APT 组织有关。

3.在上面提到的钓鱼网页(litby[.]us/Shagrir/verification.html)中,有一段被注释掉的源代码指出,同一HTML网页可能曾被其他攻击者使用过。

已注释掉的钓鱼页【ye】面源代码

根据微软 2020 年的一份报告,一个名为 Phosphorus 的伊朗 APT 组织将突出显「xian」示的域名 de-ma[.]online 用于获取凭据。

隶属于伊朗的 Phosphorous APT 组织继续针对伊朗的敌对目标进行鱼叉式网络(luo)钓鱼活动。

本文翻译自:https://research.checkpoint.com/2022/check-point-research-exposes-an-iranian-phishing-campaign-targeting-former-israeli-foreign-minister-former-us-ambassador-idf-general-and-defense-industry-executives/

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。