伊朗針對以色列前外交部長、前美國駐以色列大使、以色列前陸軍將軍及其他三名知名高官發起魚叉式網絡釣魚攻擊活動
Check Point Research(CPR)披露伊朗針對以色列和美國知名高官發起魚叉式網絡釣魚攻擊活動。攻擊者首先劫持以色列高官的電郵,然後利用這些郵件竊取其他高官的個人資訊。攻擊目標包括以色列前外交部長利夫尼(Tzipi Livni)、前美國駐以色列大使、以色列國防軍前少將及其他三名高官。此外,攻擊者還劫持了現有的電郵對話,冒充他人誘使目標與其進行通信。CPR認為,攻擊者的目標是竊取個人資訊、掃描護照和存取電郵帳戶。CPR 的調查結果正值以色列伊朗局勢持續升級之際,在此之前,伊朗曾多次試圖通過電郵誘使以色列高官洩露重要資訊。
- 攻擊活動至少可追溯至2021年12月
- 攻擊者偽造獲信任聯絡人的電郵帳戶,格式為 joe.doe.corp@gmail.com
- 調查結果發現該攻擊活動與伊朗的APT組織Phosphorus有關
Check Point Research(CPR)披露了伊朗針對以色列和美國知名高官發起的魚叉式網絡釣魚攻擊活動。攻擊者首先接管以色列高官的現有帳戶,然後創建假冒他人的帳戶,誘使目標與其長期保持電郵對話。CPR認為,該攻擊活動的目的是竊取個人資訊、掃描護照和存取電郵帳戶。CPR認為,該攻擊活動至少可追溯至2021年12月,但可能更早。
主要目標包括:
- 利夫尼(Tzipi Livni)—— 以色列前外交部長兼副總理
- 曾在以色列國防軍擔任高度機密職位的少將
- 以色列某領先安全智囊團的主席
- 前美國駐以色列大使
- 中東某知名研究中心的前主席
- 以色列國防工業高級主管
攻擊方法
- 攻擊者接管攻擊目標常用聯絡人的真實電郵帳戶
- 攻擊者進一步劫持現有的電郵對話
- 然後,攻擊者冒充攻擊目標的聯絡人向其發送偽造的電郵,郵件格式大多為joe.doe.corp@gmail.com
- 攻擊者繼續劫持偽造電郵中的對話,然後與目標相互發送至少幾封電郵
- 其中一些電郵包含與目標相關的真實文檔的連結。例如會議或研究活動的邀請函/雅虎的網絡釣魚頁面/上傳掃描檔的連結
電郵範例:以色列前外交部長利夫尼
有人冒充曾在以色列國防軍擔任高度機密職位的著名少將,向利夫尼發送電郵。該電郵的位址是這名前少將的真實電郵地址,該位址曾與利夫尼有過通信往來。該電郵供應了一個檔案的連結,攻擊者要求利夫尼打開閱讀,但她並沒有及時打開該檔案,攻擊者多次與她聯繫,要求她使用她的電郵密碼打開檔案。這讓她起疑,她見到這名前少將後提起了關於電郵的事情,確認他從未向她發送過這樣的電郵。
圖 1:第 1 天給利夫尼發送的郵件
圖 2:第 6 天給利夫尼發送的郵件
歸因判斷
CPR認為,此次攻擊活動的始作俑者是伊朗支援下的攻擊組織。有證據顯示該攻擊活動可能與伊朗的APT組織Phosphorus有關。該組織製造了很多臭名昭著的網絡攻擊事件,其中很多受害者都是以色列官員,這符合伊朗政權的利益。
Check Point Research威脅情報部門經理Sergey Shykevich表示:「我們披露了針對以色列和美國公共部門高官的伊朗網絡釣魚攻擊的基礎設施,其目的是竊取他們的個人資訊、掃描護照和存取他們的郵件帳戶。我們有確鑿的證據顯示該攻擊活動至少可追溯至2021年12月,但可能更早。該攻擊活動中最複雜的環節是社會工程。攻擊者使用其劫持的真實電郵鏈結,冒充攻擊目標的常用聯絡人,誘使每個目標洩露重要資訊。該攻擊活動針對每個目標精心設計了一個非常有針對性的網絡釣魚鏈。此外,政府黑客與攻擊目標之間積極進行電郵通信的情況在國家級網絡攻擊中比較少見。CPR將繼續密切跟進它的進展。」
發表迴響