Rocket Kitten對伊朗講師及資安研究人員進行間諜活動
Rocket Kitten是個專門將攻擊目標放在中東特定知名人士的駭客組織, Thamar E. Gindin博士是位語言學和前伊斯蘭伊朗文化的專家,顯然因為說出政治聲明而激怒Rocket Kitten駭客組織的幕後人士。
在2015年中,Gindin博士收到了多封魚叉式網路釣魚(Phishing)郵件,其中一封包含惡意軟體,另外三封夾帶連到偽登錄網頁的連結。這僅僅只是個開始。大量來自未知寄件者的訊息突然出現在她的 Facebook 收件匣。駭客發動暴力攻擊並利用密碼取回選項來取得她的雲端服務帳號。在兩起不同事件中,攻擊者甚至透過電話來聯絡她,希望取得進一步的詳細資料,以便為未來更多的網路釣魚郵件鋪陳。
在2015年6月Gindin博士協助ClearSky的網路安全研究人員進行與Rocket Kitten活動有關的Thamar Reservoir報告。當時她意識到Rocket Kitten刻意地針對她,但攻擊仍在持續。即便在報告發表後,Gindin博士還是會收到Google的密碼重設通知,而她並未上鉤。
Rocket Kitten針對ClearSky研究人員
知道Gindin博士跟ClearSky有關可能讓Rocket Kitten將矛頭指向他們的其中一名研究人員。這些攻擊者可能藉由取得的電子郵件知道Gindin博士告知ClearSky研究人員,或是他們自己發現了這安全團隊在調查他們。也有可能是攻擊者存取了其他曾聯繫ClearSky的Rocket Kitten受害者郵件。無論是哪一種,攻擊者利用了此一情報並用來作為誘餌。
隨之而來的是一連串新的嘗試,我們在之前曾報告Rocket Kitten參與派送GHOLE惡意軟體和掩護Woolen-Goldfish攻擊活動。以下解析了他們所做的事情:
- 社群媒體:攻擊者先嘗試用一個假Facebook身分來接近一名ClearSky威脅研究人員。這沒有奏效。
- 假電子郵件:攻擊者接著用自己所建的假ClearSky郵件地址(clearsky[.]cybersec[.]group@gmail[.]com)來寄送郵件給一名ClearSky研究人員。不過後者打電話給聲稱的寄件者來確認該封電子郵件,發現這是假冒的郵件。
- 惡意連結:該郵件利用趨勢科技的名稱來製造其合法性。第一個連結「Trend Micro Security」連到真正的公司網站,但第二個連結指向惡意檔案,名稱為EXE。
- 社交工程:攻擊者利用趨勢科技品牌作為誘餌顯示其應變能力,將我們之前的研究考慮到攻擊活動中能夠製造出安全錯覺,誘使受害者下載其檔案。
- 惡意檔案:惡意檔案最終會將受感染電腦連上攻擊者的C&C伺服器,讓他們可以遠端存取網路。
研究報告「間諜貓咪(Kitten)回來了:Rocket Kitten 2」會對Rocket Kitten相關的特定進行中政治間諜活動建立起脈絡關係。提供了對Gindin博士和ClearSky研究人員攻擊的技術細節,包括使用巨集和後門程式來取得對他們帳號的存取能力。
@原文出處:Rocket Kitten Spies Target Iranian Lecturer and InfoSec Researchers in New Modus|作者:Cedric Pernet(威脅研究員)
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載