伊朗背景APT组织Charming Kitten通过WhatsApp、LinkedIn攻击目标 – 作者:freebuf1006

Clearsky安全研究人员披露，伊朗背景APT组织Charming Kitten正在利用WhatsApp和LinkedIn进行鱼叉式网络钓鱼攻击。

伊朗背景APT组织Charming Kitten（又名APT35、Phosphorus、Newscaster、Ajax Security Team）于2014年被广为人知。当时，iSight专家发表了一份报告，描述了伊朗黑客利用社交媒体精心构造的网络间谍活动。

Microsoft至少从2013年起就一直追踪该攻击组织，但是专家认为，该网络间谍组织至少从2011年起就一直活跃，目标是中东的记者和活动家、美国组织，以及英国、以色列、伊拉克等实体。

当前，Clearsky安全人员发表了一个新的网络钓鱼活动细节，攻击者冒充《德国之声》（DeutscheWelle）和《犹太日报》（Jewish Journal）记者，该国家背景黑客组织正利用电子邮件和WhatsApp来诱导受害者点击恶意链接。

研究人员发现攻击者利用伪造的LinkedIn资料与受害者建立联系。

过去几个月中，Charming Kitten扩大了目标范围，涵盖了巴哈伊社区、美国高级公务员和官员（包括美国国务院大使和前雇员），以及COVID-19相关组织（如Gilead和WHO）。在近期的攻击活动中，目标是以色列学者和美国政府雇员。

黑客为不同受害者定制恶意链接，并试图向受害者发送ZIP文件。

下图是过去三年中攻击者仿冒《德国之声》和《犹太日报》个人资料的时间表：

Clearsky告知了《德国之声》其网站上的仿冒行为和水坑攻击。《德国之声》代表表示，过去几周Charming Kitten仿冒记者的时间段内，没有向任何受害者或以色列学术研究人员发送电子邮件。需要注意的是，《德国之声》的记者一部分来自伊朗，有助于攻击者在电话中进行伪装。这种攻击向量是Charming Kitten所独有的，但并不是该攻击者近几个月使用的唯一攻击向量。

安全研究人员指出，攻击者在此次攻击活动中使用了完善的LinkedIn账户，并愿意通过WhatsApp使用合法的德国号码与受害者通话。

此TTP并不常见，且可能会暴露攻击者的虚假身份。但是，如果攻击者成功接通电话，与电子邮件相比，攻击者可以从受害者处获取更多信任。

Charming Kitten攻击目标是以色列研究人员，攻击者邀请他们参加关于伊朗和受害者感兴趣的其他主题的在线网络研讨会/会议（如近期伊朗与美国之间的对话）。

Charming Kitten在10天内反复恳请受害者，攻击者想与受害者直接通电话，以诱骗受害者在“Akademie DW”（用作网络钓鱼页面）上激活其账户。

攻击者连续10天向受害者发送消息，并要求他们提供电话号码，以诱使受害者在“Akademie DW”网站上激活其账户。

如果受害者不愿意提供电话号码，攻击者将通过伪造的LinkedIn账户向受害者发送消息，消息包含网络研讨会受Google保护的承诺。

参考文献：https://securityaffairs.co/wordpress/107644/apt/charming-kitten-apt-whatsapp-linkedin.html

来源：freebuf.com 2020-09-11 23:38:51 by: freebuf1006