伊朗_6

  • 时间:
  • 浏览:24
  • 来源:it300
伊朗 据SecureWorks研究人员称,据称与伊朗政府指导的网络行动有关的威胁组织正在运营一个虚假的在线角色,以瞄准中东地区的恶意软件组织。

被称为COBALT GYPSY或者说TG-2889,威胁组以前与各种活动有关,包括Shamoon攻击,这些活动显然是由多个团体共同协作制作的。

网络钓鱼活动于2017年初发现,针对的是中东地区的实体和SecureWorks表示,北非(MENA)专注于沙特阿拉伯组织,使用PupyRAT开源远程访问木马也与COBALT GYPSY相关联。

这些可能不成功的活动紧随其后有针对性的矛网络钓鱼和社会工程攻击“来自使用在线角色Mia Ash的实体。 SecureWorks认为,COBALT GYPSY也支持这些攻击,威胁组使用鱼叉式钓鱼攻击中东和北非地区的电信,政府,国防,石油和金融服务机构。

“进一步分析显示,已建立的虚假社交媒体档案集合,旨在与潜在受害者建立信任和融洽关系。与这些配置文件相关联的连接表明威胁行为者在2016年4月开始使用角色定位组织,“研究人员表示。”

2016年底观察到的网络钓鱼活动使用缩短的URL导致启用宏执行PowerShell命令的Word文档为PupyRAT下载其他PowerShell加载程序脚本。成功安装恶意程序将为攻击者提供对受害者系统的完全访问权限。

1月份,一名目标组织的员工通过LinkedIn与名为Mia的伦敦摄影师联系。 Ash声称自己是全球演习的一部分。在关于职业,摄影和旅行的多条信息之后,Mia Ash最终鼓励员工在Facebook上成为朋友并继续在那里进行对话。

通过电子邮件,WhatsApp和可能的Facebook,Mia Ash进行数周的沟通。最终发送了一份名为“Copy of Photography Survey.xlsm”的Microsoft Excel文档,并鼓励员工开始工作n“使用公司电子邮件帐户工作的电子邮件,以便调查能够正常运行。”文档中包含的宏下载了PupyRAT恶意软件。

SecureWorks认为COBALT GYPSY是Mia Ash角色的幕后黑手,用它来感染初始广告系列失败后,目标组织。研究人员指出:“该组织多次使用社交媒体,特别是LinkedIn,与目标组织的员工进行识别和互动,然后使用武器化的Excel文档提供诸如PupyRAT之类的RAT。”

[研究人员称,Mia Ash很可能是假的,虽然与LinkedIn,Facebook,Blogger和WhatsApp帐户以及几个电子邮件地址有关。该角色似乎已于2016年4月或更早成立,wh这些帐户似乎包含来自其他来源的支持材料和内容。

LinkedIn个人资料包含Mia's Photography的就业描述,似乎取自美国摄影师的LinkedIn页面。 Mia Ash使用的图像与各种帐户和个人资料一致,可能来自属于罗马尼亚摄影师的社交媒体账户。

研究人员还观察到Mia Ash的几个LinkedIn连接的名称与与Mia Ash Facebook页面相关联的人,暗示威胁演员最初联系LinkedIn上的个人,然后切换到Facebook。摄影连接用于投射真实性,但是位于Sa的多个非摄影代言人乌迪阿拉伯,美国,伊拉克,伊朗,以色列,印度和孟加拉国似乎是技术,石油/天然气,医疗保健,航空航天和咨询机构的目标。

这些人拥有技术职称,如技术支持工程师,软件开发人员和系统支持,意味着提升企业网络内的访问权限。威胁行为者希望通过管理员妥协帐户或提高“快速访问目标环境以实现其目标”的访问权限。

“个人的地点和行业与之前的COBALT GYPSY目标和伊朗的意识形态,政治,和军事情报目标。这些特征表明COBALT GYPSY执行了1月和2月的网络钓鱼活动,并创建了Mia As“安全工作组织称,安全研究人员自2015年以来一直在跟踪多个COBALT GYPSY活动,并表示该组织极有可能与伊朗政府指导的网络运营有关,因为它已经发起了间谍活动。针对“对伊朗利益具有战略,政治或经济重要性的组织”的运动。

根据SecureWorks的说法,威胁组织可能创建了多个在线人员,以通过社会工程获取目标计算机网络。 “使用Mia Ash角色展示了威胁行为者用来妥协目标的创造力和持久性。持续使用社交媒体来识别和操纵受害者表明COBALT GYPSY成功地实现了其目标这种策略,“研究人员得出结论。

相关:伊朗Cyber​​spy团体共享恶意软件代码

相关:多个团体合作Shamoon攻击:赛门铁克

相关:伊朗间谍攻击沙特阿拉伯的“魔术猎犬”攻击[ 123]

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01