重出水面：伊朗背景惡意組織新型網路釣魚攻擊分析

一、概述

網路釣魚攻擊，向來是具有伊朗背景的惡意組織用於獲取賬戶的最常見滲透形式。CERTFA分析了該惡意組織最新的網路釣魚攻擊活動，該攻擊被稱為「迷人小貓的歸來」（The Return of The Charming Kitten）。

在此次惡意活動中，惡意組織主要針對參與對伊朗經濟和軍事制裁的組織，以及世界範圍內的特定政治家、公民、人權活動家和記者。

通過CERTFA的調查表明，攻擊者明確清楚受害者會使用兩步驗證（Two-step Verification），包括驗證碼和電子郵件帳戶（例如Yahoo!和Gmail）。基於這一點，CERTFA認為，這些攻擊的最有效方法，就是使用YubiKey等安全密鑰。

二、背景

在2018年10月初，Twitter用戶 @MD0ugh 發現一群伊朗黑客針對美國金融機構基礎設施進行網路釣魚攻擊。據這名用戶說，這些襲擊可能是針對美國對伊朗新一輪制裁的反擊。

該用戶首次提到了地址為accounts[-]support[.]services的域名，該域名與伊朗政府支持的一個黑客組織有關，我們相信這些黑客與伊斯蘭革命衛隊（IRGC）關係密切。ClearSky此前已經發布有關其活動的詳細報告。

在這些攻擊發生的一個月後，accounts-support[.]services的管理員就擴大了他們的活動範圍，並且開始針對民權與人權活動家、政治人物、伊朗和西方的記者發動攻擊。

三、攻擊方法

我們的調查表明，攻擊者正在利用不同的方式進行攻擊，這些方式可以大致分為兩類：

1、通過未知的電子郵件、社交媒體、消息帳號進行網路釣魚攻擊。

2、攻擊者首先攻陷公眾任務的電子郵件、社交媒體、消息帳號，然後利用它們進行網路釣魚攻擊。

我們還發現，攻擊者在進行網路釣魚攻擊之前，首先收集了有關其目標的信息。攻擊者根據目標的網路知識水平、聯繫人、活動、工作時間和地理位置，為每個目標設置了具體的計劃。

我們還注意到，與此前的網路釣魚活動不同，在某些情況下，攻擊者在最新一輪攻擊中，沒有更改受害者帳戶的密碼。這樣一來，攻擊者的攻擊行為就能夠儘可能隱蔽，同時也能通過郵箱實時監控受害者的電子郵件通信。

3.1 發送「未經授權訪問」的虛假警告

根據網路釣魚攻擊的樣本，我們發現攻擊者用於欺騙目標的主要技巧是通過郵件方式發送虛假的警報。發件人包括 notifications.mailservices@gmail[.]com 、 noreply.customermails@gmail[.]com 、 customer]email-delivery[.]info 等等，郵件內容大致是說明未經授權的個人試圖訪問用戶的帳戶。

3.2 偽裝成Google雲盤上的文件共享

發送帶有標題的鏈接（例如來自Google雲盤的共享文件）是黑客近年來經常使用的技巧之一。與之前的攻擊相比，這些攻擊的獨特之處是在於它們使用Google Site，其允許攻擊者展示Google Drive的虛假下載頁面，並誘使用戶認為它是一個真正的Google Drive頁面。

例如，攻擊者使用hxxps://sites.google[.]com/view/sharingdrivesystem來欺騙用戶，並說服他們該網頁是真正的Google雲盤，用戶也可以在瀏覽器的地址欄中看到「google.com」的字樣。CERTFA已經報告此鏈接，以及其他與Google相似的鏈接，目前這些鏈接已經被清理。

通過創建具有相同設計和外觀的Google雲盤文件共享頁面，攻擊者可以假裝與用戶共享文件，誘導用戶下載文件並在其設備上運行。隨後，攻擊者使用其攻陷的Twitter、Facebook和Telegram帳戶發送惡意鏈接，並進一步傳播給新的用戶。事實上，這一過程中沒有任何文件產生，攻擊者利用這一頁面將其目標定向到假的Google登錄頁面，誘使用戶輸入他們的憑證詳細信息，包括雙因素身份驗證。

四、攻擊結構

目前來說，大多數攻擊都是通過網路釣魚郵件來實現的。因此，在最近的網路釣魚惡意活動中，查看原始郵件會對我們的分析過程很有幫助。

4.1 目標鏈接

4.2 電子郵件中可點擊的圖像

為了繞過Google的安全系統和反網路釣魚系統，攻擊者在他們的電子郵件正文中使用了圖像，以此來替換文本。為此，攻擊者還使用Firefox Screenshot4等第三方軟體來託管他們的電子郵件圖像。

4.3 隱藏在電子郵件中的跟蹤圖像

攻擊者在電子郵件正文中，使用單獨的隱藏圖像，以便在目標打開電子郵件時通知他們。這個技巧可以幫助攻擊者在目標打開電子郵件並點擊網路釣魚鏈接後立刻開展行動。

五、釣魚頁面

除了電子郵件和網路釣魚鏈接的內容結構之外，我們還確信攻擊者使用了自定義的平台來創建和存儲用戶的詳細憑據信息。我們還注意到，攻擊者為桌面版和移動版Google及Yahoo!郵件服務設計了網頁仿冒頁面，將來還可能會擴展到其他服務。

在最近的攻擊中，攻擊者使用了一種有意思的技術，一旦他們的目標輸入用戶名和密碼，攻擊者會立即檢查這些憑據，如果正確給出了這些信息，他們就會要求提供雙因素驗證碼。

換而言之，攻擊者會在自己的伺服器上實時檢查受害者的用戶名和密碼，即使啟用了雙因素身份驗證（例如簡訊、驗證APP或一鍵登錄），他們也可以欺騙目標用戶，並獲取到相應的信息。

下圖展現了網路釣魚頁面的一些示例，這些都是由該惡意組織精心製作的。

用於輸入Gmail帳戶密碼的虛假頁面：

用於輸入Gmail帳戶兩步驗證碼的虛假頁面：

用於輸入Yahoo!帳戶密碼的虛假頁面：

用於輸入Yahoo!帳戶兩步驗證碼的虛假頁面：

六、攻擊者足跡

我們針對這一系列惡意活動展開深入研究，發現攻擊者已經建立了大量的域名。根據最新調查結果顯示，此類網路釣魚活動在相對較短的時間內（2018年9月至11月）就使用了20多個域名。在撰寫本報告時，網路釣魚域名的數量有所增加。通過我們對這些伺服器的更深入調查，發現了這些域名網路在近期的攻擊中是如何被使用的。

此外，我們的技術分析顯示，參與此惡意活動的人員使用了荷蘭和法國的虛擬專用網路（VPN）和代理IP地址，來隱藏其原始位置。儘管他們付出了努力，但我們已經發現了足夠的證據，追溯到攻擊者所使用的真實IP地址。例如，在準備階段，攻擊者使用了來自伊朗的89.198.179[.]103和31.2.213[.]18。

我們對該惡意活動中一些域名和伺服器進行了分析，發現其使用的方法、技術和目標與Charming Kitten（迷人小貓）組織非常相似，這是一群與伊朗政府有關聯的黑客。因此，我們認為這一惡意組織已經重出水面，針對世界各地的用戶發起新一輪網路攻擊，並且更加關注以色列和美國地區。

七、總結

網路釣魚攻擊是伊朗黑客竊取數據和進行黑客攻擊的最常用方法，但此次惡意活動中最重要的事實是它發生的時機。這場惡意活動是在2018年11月4日前後幾周發動的，當時美國對伊朗實施了新一輪的制裁。該惡意活動試圖通過滲透非伊朗的政治任務和對伊朗實施經濟及軍事制裁的當局帳戶，來收集信息。

換而言之，與伊朗政府有關聯的黑客組織，根據伊朗政府的政策、國際利益以及伊朗想要間接影響的地方來選擇目標。

最後，我們向科技公司、政策制定者、民間社會學者和互聯網用戶提出一系列建議，從而有效減輕此類攻擊的威脅，甚至抵禦此類攻擊。

7.1 對科技公司和政策制定者的建議

1、停止使用文本信息或簡訊的雙因素認證方式。

2、使用安全密鑰（例如YubiKey）對涉及敏感工作或活動的高級別人士進行雙因素身份驗證。

3、不要使用一鍵登錄驗證過程。

7.2 對民間社會學者和伊朗媒體的建議

1、向員工通報所有網路釣魚威脅事件，並鼓勵員工使用YubiKey等安全密鑰進行雙因素身份認證，並且激活Google的高級安全保護。

2、始終使用公司和機構的電子郵件帳戶進行敏感通信，不要使用個人電子郵箱。根據公司或組織的通信策略，更改發件人策略框架或SPF6設置，例如限制從工作網路外部接收電子郵件。舉例來說，G Suite允許管理員阻止接收未經授權的地址或域名發來的郵件。

3、鼓勵公眾通過Google Authenticator等移動應用進行額外驗證，並在帳戶中啟用雙因素身份驗證。

7.3 對用戶的建議

1、不要點擊未知鏈接。如果要查看帳戶中的可疑活動，或更改密碼，用戶可以直接在電子郵箱中轉到「我的帳戶」設置界面，而不是點擊任何鏈接，這樣更加安全。

2、對敏感電子郵件使用PGP等加密方式進行加密，防止攻擊者非法讀取郵件內容。

3、不要將機密和敏感信息以純文本的形式存儲在郵箱中。

4、在URL的域名前，如果有「HTTPS」，並不意味這個網站的內容是安全或可信的，它只是HTTP協議的一種安全擴展。需要知道，許多釣魚網站目前也在HTTPS協議下運行。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！