伊朗黑客冒充波音和大疆发布虚假工作机会实施鱼叉式钓鱼攻击

最新的 Mandiant 报告警告称，伊朗网络间谍黑客冒充波音公司或无人机制造商大疆创新的招聘人员以及其他网络钓鱼活动，其目标是航空航天、航空和国防工业。

    主要目标是以色列、阿拉伯联合酋长国 (UAE) 的组织，也可能是土耳其、印度、阿尔巴尼亚和其他中东国家的组织。

    新的网络间谍活动“有一定可信度”归因于伊朗黑客组织 UNC1549，该组织与威胁组织 Tortoiseshell 存在重叠。两者都与伊斯兰革命卫队有联系。伊朗黑客此前曾试图危害国防承包商和 IT 提供商。

    曼迪安特观察到一场以以色列-哈马斯战争为主题的运动，该运动伪装成“立即带他们回家”运动，呼吁归还被哈马斯绑架和扣为人质的以色列人。

    伊朗黑客还部署了多个具有类似模板的虚假招聘网站，例如 1stemployer[.]com 或 Careers-finder[.]com。来自大型国际公司的虚假工作机会引诱受害者传播恶意软件。这些虚假工作机会针对的是技术和国防相关职位，特别是在航空、航天或热成像领域。

    研究人员分享了伪装成航空航天公司波音或热成像设备 Teledyne FLIR 制造商的虚假登录页面的屏幕截图。无人机制造公司大疆创新也提供虚假工作机会。

    “Mandiant 观察到该活动部署了多种规避技术来掩盖他们的活动，最突出的是广泛使用 Microsoft Azure 云基础设施以及社会工程计划来传播两个独特的后门：MINIBIKE 和 MINIBUS。”

    收集到的情报与伊朗的战略利益相关，并可能被用于间谍活动和动态行动。

该团伙通过鱼叉式网络钓鱼引诱受害者

    黑客使用鱼叉式网络钓鱼和凭据收集作为获取访问权限的主要方法。典型的攻击链由几个阶段组成。

    首先，鱼叉式网络钓鱼电子邮件或社交媒体通信会导致受害者访问包含以色列哈马斯相关内容或虚假工作机会的虚假网站。这些网站最终会导致下载恶意负载。

有效负载是两个主要捆绑包的压缩存档，提供完整的后门功能（MINIBIKE 和 MINIBUS）。

    其次，在安装有效负载和设备受损后，黑客利用访问权限来收集情报，并作为进一步访问目标网络的垫脚石。

    为了逃避检测，伊朗黑客滥用 Microsoft Azure 基础设施进行控制、命令或托管。这使得很难区分恶意活动和合法网络流量。他们选择对网络防御者来说似乎合法的域名和职位。

原文始发于微信公众号（OSINT研习社）：伊朗黑客冒充波音和大疆发布虚假工作机会实施鱼叉式钓鱼攻击