一个与伊朗有联系的组织与针对欧洲和世界其他地区的大使馆和领事馆的“协调”和“多波”鱼叉式网络钓鱼活动有关。
以色列网络安全公司 Dream 将该活动归咎于与伊朗结盟的运营商,这些运营商与一个名为 Homeland Justice 的组织开展的更广泛的攻击性网络活动有关。
该公司表示:“电子邮件被发送给世界各地的多个政府收件人,伪装了合法的外交通信。“有证据表明,在地缘政治紧张局势加剧的时期,针对外交和政府实体的更广泛的地区间谍活动。”
攻击链涉及使用主题与伊朗和以色列之间的地缘政治紧张局势相关的鱼叉式网络钓鱼电子邮件发送恶意 Microsoft Word,打开该 Word 后,会敦促收件人“启用内容”以执行嵌入式 Visual Basic for Applications (VBA) 宏,该宏负责部署恶意软件有效负载。
根据 Dream 的说法,这些电子邮件被发送到中东、非洲、欧洲、亚洲和美洲的大使馆、领事馆和国际组织,表明该活动撒下了广泛的网络钓鱼网。据说欧洲大使馆和非洲组织是最严重的攻击目标。
这些数字信件是从属于官员和伪政府实体的 104 个独特的受感染地址发送的,以为它们提供额外的可信度。至少部分电子邮件来自属于巴黎阿曼外交部的一个被黑客入侵的邮箱(*@fm.gov.om)。
“诱饵内容始终引用紧急的 MFA 通信,传达权威,并利用使宏能够访问内容的常见做法,这是精心策划的间谍行动的标志,故意掩盖了归属,”Dream 说。
攻击的最终目标是使用 VBA 宏部署一个可执行文件,该可执行文件可以建立持久性、联系命令和控制 (C2) 服务器并收集系统信息。
网络安全公司 ClearSky 上个月底还详细介绍了该活动的某些方面,该公司表示,网络钓鱼电子邮件已发送给多个外交部。
“伊朗威胁行为者在 2023 年针对阿尔巴尼亚的 Mojahedin-e-Khalq 时也使用了类似的混淆技术,”它在 X 上的一篇帖子中表示。“我们以适度的信心评估该活动与相同的伊朗威胁行为者有关。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
