【安全资讯】Operation SpoofedScholars:Charming Kitten APT组织针对中东学者进行网络钓鱼攻击

猎影实验室 2021-07-16 06:16:06 1065人浏览

引言

研究人员披露,与伊朗有关的Charming Kitten APT组织正伪装成与伦敦大学东方和非洲研究学院合作的英国学者,对中东地区的学术专家发起网络钓鱼攻击。研究人员将此次网络钓鱼活动命名为Operation SpoofedScholars ,攻击者通过学术机构的合法站点来创建他们的凭证网络钓鱼基础设施。攻击的目标包括中东事务专家、知名学术机构资深教授、报道中东事物的专职记者等。 攻击者会伪装成英国学者与受害者建立联系,有时还会进行长时间的对话,一旦在对话中获得信任,攻击者就会向受害者发送一个注册链接,该链接实际上是伦敦大学 SOAS 电台的受感染网站。


简况

Charming Kitten组织又名TA453、APT35、Ajax、NewsBeef、Newscaster 和 Phosphorus。研究人员表示,该组织至少从2021年1月起就展开了此次活动,攻击者伪装成与伦敦大学东方和非洲研究学院合作的英国学者,一直在秘密接近中东专家以索取敏感信息。在攻击的最初,Charming Kitten组织伪装成伦敦 SOAS 大学的 Utterly Bogus 博士向受害者发送初始电子邮件,邀请受害者参加“美国在中东的安全挑战”在线会议。该组织通过电话联系并邀请中东的学者专家。在受害者强调需要一份包含详细信息的邀请函后,攻击者提供了一份详细的伪造的会议邀请,如下图:



一旦受害者同意参加虚假的网络研讨会,Charming Kitten组织就会向受害者发送一个注册链接,该链接是伦敦大学SOAS研究机构受感染的网站,指向“网络研讨会控制面板” 。Charming Kitten组织获取了权限,可以创建SOAS网站的凭证收集页面。当受害者点击链接时,会显示实际的网络钓鱼界面,在受害者填写信息后,攻击者立即验证,手动捕获受害者的凭证。除了Utterly Bogus博士之外,该组织还设置了许多其他的伪装角色来增强可信度,提供恶意链接。目前,SOAS已发表声明称,SOAS的工作人员并没有任何违规行为,教职员工和学生记录、财务信息、电子邮件以及核心网站等也均未受到影响,该机构已与有关当局合作通知受害者。


在和受害者对话的过程中,Charming Kitten组织展示了合格的英语技能,并且可以通过视频会议进行语音交流。Charming Kitten组织的攻击目标可以分为三个主要类别:资深智库人员、知名学术教授以及关注中东事务的记者。这些团体始终拥有伊朗政府感兴趣的信息,包括但不限于有关外交政策的信息、对伊朗持不同政见者运动的洞察以及对美国核谈判的了解。 研究人员经过分析发现,此次攻击活动的TTP和攻击目标与伊斯兰革命卫队IRGC情报收集的优先级一致。

总结

研究人员表示,在此次攻击活动中宏,Charming Kitten组织使用了合法但受感染的基础设施,表现出该组织攻击活动复杂性的增加。研究人员以高置信度评估,Charming Kitten组织将继续迭代、创新,支持IRGC的情报收集行动,以支持伊朗政府。

失陷指标(IOC)1
APT 钓鱼攻击 Charming Kitten 中东 SpoofedScholars 学术
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。