伊朗APT组织在全球对学校和大学进行钓鱼攻击

伊朗APT组织在全球对学校和大学进行钓鱼攻击

随着学校和大学的回归,被称为“沉默图书馆员”的APT组织增加了鱼叉式网络钓鱼攻击。

Malwarebytes的IT安全研究人员和CSIS安全组的Peter Kruse报告了一个伊朗APT(高级持续性威胁)组织,也称为Silent Librarian,TA407和COBALT DICKENS,该组已针对全球范围内的学校和大学使用鱼叉式网络钓鱼攻击。

据研究人员称,恶意攻击活动已经持续了近两年,但是,由于与COVID-19相关的封锁之后,学生和学校/大学的工作人员又回来了,该组织的攻击激增。

值得注意的是,2018年3月,美国司法部起诉9名伊朗公民,他们以大学为目标窃取敏感研究记录。从那时起,该集团已走向全球,其活动至今仍在进行。 

Silent Librarian通过注册具有与学校和大学相似名称的顶级域名(TLD)来运作。通过查看该小组运营的某些站点,可以发现其中许多站点的登录页面是从原始大学站点克隆的,目的是诱骗用户放弃其登录凭据。

该小组分发的消息包含将受害者定向到克隆的大学登录门户的链接或HTML附件。这些门户网站合并了被盗的品牌,准确的街道地址和其他社交工程技术,以操纵用户公开登录凭据。

此攻击中的一些大学包括:

维多利亚大学 
乌得勒支 
斯托尼布鲁克大学 
布里斯托 
大学剑桥大学
多伦多
格拉斯哥喀里多尼亚大学
阿德莱德大学图书馆

博客文章中,Malwarebytes的威胁情报小组表示,尽管该小组使用Cloudflare进行了跟踪,但研究人员仍能够发现一些由伊朗本地托管公司提供支持的网站。

研究人员认为,这可能是因为美国对伊朗实施制裁,这使得与欧洲,美国或其他地方的公司打交道几乎成为不可能。

对于攻击者来说,在他们自己的国家中使用基础结构似乎很奇怪,可能会指向他们。但是,由于美国或欧洲执法部门与伊朗当地警察之间缺乏合作,因此它成为了另一个防弹托管选择。

尽管如此,总部位于伊朗的黑客通过不断为自己配备技巧来提高自己的游戏水平。去年3月,微软宣布占领了99个主要网站,伊朗黑客利用这些网站从美国毫无戒心的用户那里窃取敏感信息,并发起了网络攻击。 

2020年2月,研究人员揭露了“福克斯小猫战役”,其中一个伊朗APT组织被发现入侵VPN服务器以安装后门程序,以访问全球不同组织的网络。此外,就在上个月,研究人员揭露了一个长达六年的名为Rampant Kitten的活动,其中发现伊朗黑客利用Android后门应用程序。

from