Charming Kitten通过高级网络攻击瞄准伊朗持不同政见者

德国联邦宪法保护办公室 (BfV) 警告称，自 2022 年底以来，该国境内的伊朗个人和组织可能遭受网络攻击。

该机构在一份咨询报告中表示：“网络攻击主要针对伊朗境内外的持不同政见组织和个人，例如律师、记者或人权活动人士。”

这些入侵归因于一个名为Charming Kitten的威胁行为者，该威胁行为者也以APT35、Mint Sandstorm、TA453 和 Yellow Garuda 等名称进行追踪。

虽然伊朗民族国家行为者在复杂程度方面落后于俄罗斯和中国同行，但他们展示了工具和技术的持续进步，添加了一系列定制恶意软件以促进信息收集，并快速利用 n 天安全漏洞来获得初始访问权限。

尤其是 Charming Kitten，它在利用精心设计的社会工程和针对目标受害者量身定制的虚拟在线身份方面有着悠久而传奇的历史。它还冒充真正的记者和非政府组织员工，以建立融洽关系并增加攻击成功的可能性。

一旦成功联系，黑客就会发送在线视频聊天链接，点击该链接后，受害者会在网络钓鱼页面上输入登录信息，从而导致凭据被盗。该网络钓鱼网站冒充合法的在线服务提供商，例如 Google 或 Microsoft。

BfV 表示：“如果发生在线视频聊天，就可以掩盖攻击。” “从 C2 服务器登录受害者的用户帐户后，攻击者能够下载整个用户数据，例如通过 Google Takeout 的方式。”

值得注意的是，谷歌威胁分析小组 (TAG) 于 2022 年 8 月详细介绍了一种名为HYPERSCRAPE的恶意软件，威胁行为者使用该恶意软件从 Gmail、Yahoo! 和 Microsoft Outlook 帐户检索用户数据。

这些攻击也反映了Certfa Lab和人权观察 (HRW) 之前的调查结果，后者披露了大约同一时间针对在中东工作的人权活动家、记者、研究人员、学者、外交官和政治家的证书网络钓鱼活动。

与此同时，Sophos 披露了一项针对四家伊朗银行（Bank Mellat、Bank Saderat、Resalat Bank 和 Central Bank of Delhi）客户的移动恶意软件活动，其中有多达 40 个伪造的 Android 应用程序旨在窃取敏感信息。

安全研究员 Pankaj Kohli在上个月末发布的一份报告中表示：“所有这些应用程序在 2022 年 12 月至 2023 年 5 月期间可供下载，它们收集网上银行登录凭据和信用卡详细信息，并具有其他一些功能。”

这包括“隐藏图标以保持隐秘性，并拦截一些银行使用的传入短信作为多因素身份验证方案的一部分。” 还提供了一项功能，可以在受感染的设备中搜索与银行、支付或加密货币相关的其他几个应用程序。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7739.html