一名疑似伊朗的國(guó)家黑客發(fā)動(dòng)了一場(chǎng)復(fù)雜的社會(huì)工程攻擊行動(dòng)，通過(guò)偽裝成倫敦大學(xué)東方非洲研究學(xué)院 (SOAS) 的學(xué)者來(lái)收集敏感信息，目標(biāo)是中東地區(qū)的智庫(kù)人員、記者和教授等。

[[411917]]

企業(yè)安全公司Proofpoint認(rèn)為這一名為“Operation SpoofedScholars”活動(dòng)背后的幕后黑手是TA453的高級(jí)持續(xù)威脅組織，該威脅組織別名為APT35(火眼命名)、Charming Kitten(ClearSky命名)和Phosphorous(微軟命名)。這個(gè)政府網(wǎng)絡(luò)戰(zhàn)組織被懷疑代表伊*蘭革命衛(wèi)隊(duì) (IRGC) 開(kāi)展情報(bào)工作。

研究人員表示：“確定的目標(biāo)包括來(lái)自智庫(kù)的中東事務(wù)專家、著名學(xué)術(shù)機(jī)構(gòu)的資深教授和記者，該活動(dòng)顯示了TA453在攻擊方法上的升級(jí)和復(fù)雜化。”

從高層次的攻擊鏈層面來(lái)說(shuō)，黑客冒充英國(guó)學(xué)者針對(duì)一群精英人群，試圖誘使他們點(diǎn)擊線上會(huì)議的注冊(cè)鏈接，該鏈接旨在從谷歌、微軟、Facebook和雅虎中獲取各種憑據(jù)。

黑客為了能讓身份看起來(lái)更合法，將憑據(jù)網(wǎng)絡(luò)釣魚(yú)基礎(chǔ)設(shè)施托管在屬于倫敦大學(xué)SOAS廣播電臺(tái)的一個(gè)真實(shí)但已被入侵的網(wǎng)站上，將定制化憑據(jù)收集頁(yè)面?zhèn)窝b成注冊(cè)頁(yè)面，并分發(fā)給目標(biāo)用戶。

從已知的一個(gè)案例中發(fā)現(xiàn)，TA453已向目標(biāo)人群的個(gè)人電子郵件帳戶發(fā)送了一封憑據(jù)收集郵件。研究人員說(shuō)：“TA453通過(guò)偽裝成SOAS合法附屬機(jī)構(gòu)的學(xué)者來(lái)分發(fā)惡意鏈接，從而增強(qiáng)了憑據(jù)獲取的可信度。”

此外，TA453還堅(jiān)持要求受害者登錄注冊(cè)網(wǎng)絡(luò)研討會(huì)，這增加了攻擊者“計(jì)劃立即手動(dòng)驗(yàn)證捕獲憑據(jù)”的可能性。這些攻擊早在2021年1月就開(kāi)始了，之后該組織在網(wǎng)絡(luò)釣魚(yú)電子郵件中巧妙地改變了他們的策略。

這不是該攻擊者第一次發(fā)起憑據(jù)網(wǎng)絡(luò)釣魚(yú)攻擊。今年3月初，Proofpoint詳細(xì)介紹了針對(duì)以色列和美國(guó)專門(mén)從事遺傳、神經(jīng)病學(xué)和腫瘤學(xué)研究的高級(jí)醫(yī)療專業(yè)人員的“BadBlood”活動(dòng)。

研究人員說(shuō)：“TA453非法獲取了世界級(jí)學(xué)術(shù)機(jī)構(gòu)的網(wǎng)站訪問(wèn)權(quán)，以利用被入侵的基礎(chǔ)設(shè)施來(lái)獲取其預(yù)定目標(biāo)的憑據(jù)。使用合法但被入侵的基礎(chǔ)設(shè)施說(shuō)明了TA453攻擊手法變得更加復(fù)雜，且有可能在未來(lái)的活動(dòng)中持續(xù)應(yīng)用。TA453繼續(xù)迭代、創(chuàng)新和收集，以支持IRGC情報(bào)收集重點(diǎn)工作。”

倫敦大學(xué)東方和非洲研究學(xué)院 (SOAS) 的一位發(fā)言人在聲明中回應(yīng)：

參考來(lái)源：Iranian Hackers Posing as Scholars Target Professors and Writers in Middle-East