【安全资讯】BadBlood：TA453组织针对美国和以色列医学研究人员的网络钓鱼活动

2020年下半年，伊朗威胁组织TA453发起了凭据网络钓鱼活动，针对的目标是美国和以色列专门从事基因，神经病学和肿瘤学研究的高级医学人员。研究人员根据医学目标以及伊朗和以色列之间持续的地缘政治紧张局势，将这场活动命名为BadBlood。

TA453（又名CHARMING KITTEN和PHOSPHORUS）在历史上一直与伊斯兰革命卫队（IRGC）存在关联，该组织主要针对持不同政见者、学者、外交官和新闻工作者。

在2020年12月的恶意活动中，TA453通过控制的Gmail帐户，伪装成以色列著名的物理学家。该帐户（zajfman.daniel[@]gmail.com）发送了主题为“核武器一目了然：以色列”的邮件，并包含与以色列核能力相关的社会工程学诱饵。这些恶意电子邮件包含TA453控制的域 1drv[.]casa 的链接。单击URL会打开假冒成Microsoft OneDrive服务的站点，该站点包含一个名为CBP-9075.pdf的PDF文档徽标。

当用户尝试查看和下载PDF文档时，1drv[.]casa会提供一个伪造的Microsoft登录页面，该页面尝试获取用户凭据。点击网页中的任何其他超链接会导致相同的重定向到伪造的Microsoft登录页面，除了“ Create one! ”，该选项卡指向合法的Microsoft Outlook“ Sign Up ”页面。

目前，研究人员不能确定攻击者开展 BadBlood活动的动机。该活动可以表现出TA453对目标医务人员的患者信息感兴趣，或旨在在进一步的网络钓鱼活动中使用接收者的帐户。尽管该活动可能代表着TA453组织转变攻击目标，但这也有可能是一个离群值，反映了TA453的特定优先级情报任务。