网空无间道!伊朗黑客利用社交媒体、招聘网站引诱以色列间谍

admin 2024年8月29日11:23:16评论17 views字数 2374阅读7分54秒阅读模式

当地时间8月28日,Mandiant和Google Cloud发布研究报告,称一个伊朗黑客组织通过社交媒体平台散布虚假的招聘网站和工作机会,以此作为诱饵内容,目的是识别可能与以色列等外国对手合作的伊朗人。这些诱饵发布在包括X和Virasty(伊朗的Twitter替代品)在内的平台上,冒充以色列的猎头或人力资源人员,引导用户至波斯语编写的虚假招聘网站,收集个人信息。该行动从2017年开始,最近一次发现在2024年3月,其主要动机是帮助伊朗政府进行反间谍活动。

这些虚假招聘网站专门针对具有IT和网络安全背景的人才,以及伊朗情报和安全部门的员工和官员,承诺提供优厚薪酬和隐私保护。Mandiant分析部门负责人Ben Read表示,尽管具体受影响人数未知,但该行动持续了七年之久,表明可能已取得一定成功。研究还指出,此次行动与APT42组织的活动有微弱重叠,但使用的是独立的IT基础设施,表明是独立实体。该行动的重点在于收集国内和海外波斯语异见人士的反情报信息,与美国大选无关。伊朗此举是为了削弱以色列在伊朗边境和邻近地区的情报活动,并试图识别与以色列接触的个人。

网空无间道!伊朗黑客利用社交媒体、招聘网站引诱以色列间谍

Mandiant观察到,一个伊朗黑客组织使用伪装的社交媒体账号向毫无戒心的受害者传播和分享虚假的招聘网站、工作机会和其他诱饵内容。

在约翰·勒卡雷的小说中,间谍猎手们在冷战时期的欧洲城市街道上四处游荡,精确定位秘密情报站,并拼凑出可以找到双重间谍的谜团信息。在现代世界,各国越来越多地利用社交媒体和互联网进行反间谍活动并识别潜在间谍。

根据Mandiant和Google Cloud的最新研究,这个伊朗黑客组织被发现使用伪装的社交媒体角色向毫无戒心的受害者传播和分享虚假的求职网站、就业机会和其他诱饵内容。攻击生命周期如下图所示。

网空无间道!伊朗黑客利用社交媒体、招聘网站引诱以色列间谍

这些内容发布在X和Virasty(Twitter/X 的伊朗替代品)等平台上,有人冒充以色列猎头或人力资源员工,将用户引导到用伊朗官方语言波斯语编写的招聘网站。点击者被要求提供个人信息,例如姓名、出生日期和家庭住址,以及有关其专业或学术背景的信息。这些信息被迅速发送给攻击者。

该行动于2017年首次发现,最后一次出现在 2024年3月,主要目的似乎是为了帮助伊朗政府识别可能与包括以色列在内的外国对手合作的伊朗人。

“此次活动收集的数据可能有助于伊朗情报机构查明有意与伊朗敌对国家合作的个人,”作者Ofir Rozmann、Asli Koksal和Sarah Bock写道。“收集的数据可能用于揭露针对伊朗的人力情报行动,并迫害任何涉嫌参与这些行动的伊朗人。”

网空无间道!伊朗黑客利用社交媒体、招聘网站引诱以色列间谍
社交媒体人物@A_Soleimani_Far在 Virasity 上发布帖子,宣传一种伪装成求职网站的社交工程诱饵。[来源:Mandiant]
网空无间道!伊朗黑客利用社交媒体、招聘网站引诱以色列间谍
社交媒体人物@MiladAzadihr 在 Twitter/X 上链接到一个虚假的以色列主题招聘网站。[来源:Mandiant]
这些诱饵招聘网站专门宣传需要具有 IT 和网络安全背景或经验的人才,以及“伊朗情报和安全部门的员工和官员”,同时提供“优厚”薪酬,并承诺保护个人隐私。
Mandiant网络间谍分析部门负责人Ben Read向 CyberScoop透露,尽管这家威胁情报公司没有透露受影响人数的具体数字,但此次行动持续了七年,这表明“他们可能取得了一些成功”。
网空无间道!伊朗黑客利用社交媒体、招聘网站引诱以色列间谍
2024 年 2 月使用的诱饵招聘网站 beparas[.]com 的桌面版和移动版。[来源:Mandiant]
Mandiant公司高度确信,此次行动是在伊朗政府的要求下进行的,研究人员指出,此次行动与 APT42组织的活动“存在微弱重叠”,美国官员指控该组织针对特朗普和哈里斯的总统竞选活动进行攻击和鱼叉式网络攻击。
但Read表示,此次行动似乎与其他APT42行动截然不同。虽然它可能与APT组织共享培训或领导,但它使用单独的 IT基础设施,这让Mandiant相信它是一个独立的实体。此次活动也与美国大选无关,其重点是收集国内参与者和居住在国外的波斯语异见人士的反情报。
德黑兰专注于揭露以色列的合作者,这源于以色列十年来在伊朗边境和邻近地区的情报工作成功。其中包括一系列暗杀伊朗和革命卫队领导人及核科学家的行动,以及摩萨德2018年窃取核计划文件的行动。
最近,哈马斯领导人伊斯梅尔·哈尼亚在参加伊朗总统马苏德·佩泽什基安的就职典礼后在德黑兰遭导弹袭击身亡。以色列总理本雅明·内塔尼亚胡尚未公开承认或否认以色列参与了此事。

“以色列情报部门显然在那里非常活跃,并产生了影响,”里德说,“因此,伊朗选择这种方式来削弱这种做法,并试图找到那些正在或可能与以色列人接触的个人,并试图首先确认他们的身份,这是有道理的。”

Mandiant估计这项活动旨在支持伊朗的反间谍工作,以识别与情报和安全机构有关联(或有兴趣合作)的个人。博文中描述的活动引起了伊朗个人的关注,他们涉嫌与伊朗可能视为对手的国家合作。这些人可能包括伊朗异见人士、活动家、人权倡导者以及居住在伊朗境内外的波斯语使用者。该活动通过多个社交媒体平台广泛传播其虚假人力资源网站网络,试图揭露可能与情报和安全机构合作并因此被视为对伊朗政权构成威胁的波斯语人士。收集到的数据(例如地址、联系方式以及专业和学术经验)可能会在未来针对目标个人的行动中得到利用。

参考资源
1、https://cloud.google.com/blog/topics/threat-intelligence/uncovering-iranian-counterintelligence-operation
2、https://cyberscoop.com/iran-spies-israel-mandiant-apt42/

原文始发于微信公众号(网空闲话plus):网空无间道!伊朗黑客利用社交媒体、招聘网站引诱以色列间谍

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月29日11:23:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网空无间道!伊朗黑客利用社交媒体、招聘网站引诱以色列间谍https://cn-sec.com/archives/3107645.html

发表评论

匿名网友 填写信息