Rocket Kitten對伊朗講師及資安研究人員進行間諜活動
Rocket Kitten是個專門將攻擊目標放在中東特定知名人士的駭客組織, Thamar E. Gindin博士是位語言學和前伊斯蘭伊朗文化的專家,顯然因為說出政治聲明而激怒Rocket Kitten駭客組織的幕後人士。
在2015年中,Gindin博士收到了多封魚叉式網路釣魚(Phishing)郵件,其中一封包含惡意軟體,另外三封夾帶連到偽登錄網頁的連結。這僅僅只是個開始。大量來自未知寄件者的訊息突然出現在她的 Facebook 收件匣。駭客發動暴力攻擊並利用密碼取回選項來取得她的雲端服務帳號。在兩起不同事件中,攻擊者甚至透過電話來聯絡她,希望取得進一步的詳細資料,以便為未來更多的網路釣魚郵件鋪陳。
在2015年6月Gindin博士協助ClearSky的網路安全研究人員進行與Rocket Kitten活動有關的Thamar Reservoir報告。當時她意識到Rocket Kitten刻意地針對她,但攻擊仍在持續。即便在報告發表後,Gindin博士還是會收到Google的密碼重設通知,而她並未上鉤。
Rocket Kitten針對ClearSky研究人員
知道Gindin博士跟ClearSky有關可能讓Rocket Kitten將矛頭指向他們的其中一名研究人員。這些攻擊者可能藉由取得的電子郵件知道Gindin博士告知ClearSky研究人員,或是他們自己發現了這安全團隊在調查他們。也有可能是攻擊者存取了其他曾聯繫ClearSky的Rocket Kitten受害者郵件。無論是哪一種,攻擊者利用了此一情報並用來作為誘餌。
隨之而來的是一連串新的嘗試,我們在之前曾報告Rocket Kitten參與派送GHOLE惡意軟體和掩護Woolen-Goldfish攻擊活動。以下解析了他們所做的事情:
- 社群媒體:攻擊者先嘗試用一個假Facebook身分來接近一名ClearSky威脅研究人員。這沒有奏效。
- 假電子郵件:攻擊者接著用自己所建的假ClearSky郵件地址(clearsky[.]cybersec[.]group@gmail[.]com)來寄送郵件給一名ClearSky研究人員。不過後者打電話給聲稱的寄件者來確認該封電子郵件,發現這是假冒的郵件。