重出水面：伊朗背景恶意组织新型网络钓鱼攻击分析

一、概述

网络钓鱼攻击，向来是具有伊朗背景的恶意组织用于获取账户的最常见渗透形式。CERTFA分析了该恶意组织最新的网络钓鱼攻击活动，该攻击被称为“迷人小猫的归来”（The Return of The Charming Kitten）。

在此次恶意活动中，恶意组织主要针对参与对伊朗经济和军事制裁的组织，以及世界范围内的特定政治家、公民、人权活动家和记者。

通过CERTFA的调查表明，攻击者明确清楚受害者会使用两步验证（Two-step Verification），包括验证码和电子邮件帐户（例如Yahoo!和Gmail）。基于这一点，CERTFA认为，这些攻击的最有效方法，就是使用YubiKey等安全密钥。

二、背景

在2018年10月初，Twitter用户 @MD0ugh 发现一群伊朗黑客针对美国金融机构基础设施进行网络钓鱼攻击。据这名用户说，这些袭击可能是针对美国对伊朗新一轮制裁的反击。

该用户首次提到了地址为accounts[-]support[.]services的域名，该域名与伊朗政府支持的一个黑客组织有关，我们相信这些黑客与伊斯兰革命卫队（IRGC）关系密切。ClearSky此前已经发布有关其活动的详细报告。在这些攻击发生的一个月后，accounts-support[.]services的管理员就扩大了他们的活动范围，并且开始针对民权与人权活动家、政治人物、伊朗和西方的记者发动攻击。

三、攻击方法

我们的调查表明，攻击者正在利用不同的方式进行攻击，这些方式可以大致分为两类：

1、通过未知的电子邮件、社交媒体、消息帐号进行网络钓鱼攻击。

2、攻击者首先攻陷公众任务的电子邮件、社交媒体、消息帐号，然后利用它们进行网络钓鱼攻击。

我们还发现，攻击者在进行网络钓鱼攻击之前，首先收集了有关其目标的信息。攻击者根据目标的网络知识水平、联系人、活动、工作时间和地理位置，为每个目标设置了具体的计划。

我们还注意到，与此前的网络钓鱼活动不同，在某些情况下，攻击者在最新一轮攻击中，没有更改受害者帐户的密码。这样一来，攻击者的攻击行为就能够尽可能隐蔽，同时也能通过邮箱实时监控受害者的电子邮件通信。

3.1 发送“未经授权访问”的虚假警告根据网络钓鱼攻击的样本，我们发现攻击者用于欺骗目标的主要技巧是通过邮件方式发送虚假的警报。发件人包括[emailprotected][.]com 、[emailprotected][.]com 、 customer]email-delivery[.]info 等等，邮件内容大致是说明未经授权的个人试图访问用户的帐户。
重出水面：伊朗背景恶意组织新型网络钓鱼攻击分析

通过使用这种手段，攻击者假装电子邮件提供商，向目标发送安全警报，并诱导用户立即点击查看并限制可以访问。在目标链接部分提供了更多的详细信息。

3.2 伪装成Google云盘上的文件共享

发送带有标题的链接（例如来自Google云盘的共享文件）是黑客近年来经常使用的技巧之一。与之前的攻击相比，这些攻击的独特之处是在于它们使用Google Site，其允许攻击者展示Google Drive的虚假下载页面，并诱使用户认为它是一个真正的Google Drive页面。

例如，攻击者使用hxxps://sites.google[.]com/view/sharingdrivesystem来欺骗用户，并说服他们该网页是真正的Google云盘，用户也可以在浏览器的地址栏中看到“google.com”的字样。CERTFA已经报告此链接，以及其他与Google相似的链接，目前这些链接已经被清理。

通过创建具有相同设计和外观的Google云盘文件共享页面，攻击者可以假装与用户共享文件，诱导用户下载文件并在其设备上运行。随后，攻击者使用其攻陷的Twitter、Facebook和Telegram帐户发送恶意链接，并进一步传播给新的用户。事实上，这一过程中没有任何文件产生，攻击者利用这一页面将其目标定向到假的Google登录页面，诱使用户输入他们的凭证详细信息，包括双因素身份验证。

四、攻击结构

目前来说，大多数攻击都是通过网络钓鱼邮件来实现的。因此，在最近的网络钓鱼恶意活动中，查看原始邮件会对我们的分析过程很有帮助。

4.1 目标链接

1、值得信赖的阶段：全球互联网用户都认为Google的主域名（google.com）是一个安全可靠的地址。但攻击者滥用这一事实，在sites.google.com（Google的子域名）上创建虚假页面，来欺骗大众。Google的网站服务使用户能够在上面显示各种内容。攻击者如果利用此功能发送虚假警报，并将目标重定向到不安全的网站，或者将嵌入式网络钓鱼页面作为页面上的iframe。

2、不受信任的阶段：由于Google可以快速识别并删除sites.google.com上的可疑链接和恶意链接，因此攻击者也可以使用自己的网站。网络钓鱼网站的链接与过去几年的早期网络钓鱼活动具有相似的模式。例如，攻击者会在域名和网络钓鱼URL中使用诸如“管理”、“自定义”、“服务”、“标识”、“会话”、“确认”这类字词，来欺骗想要验证其网站地址的用户。

4.2 电子邮件中可点击的图像

为了绕过Google的安全系统和反网络钓鱼系统，攻击者在他们的电子邮件正文中使用了图像，以此来替换文本。为此，攻击者还使用Firefox Screenshot4等第三方软件来托管他们的电子邮件图像。

4.3 隐藏在电子邮件中的跟踪图像

攻击者在电子邮件正文中，使用单独的隐藏图像，以便在目标打开电子邮件时通知他们。这个技巧可以帮助攻击者在目标打开电子邮件并点击网络钓鱼链接后立刻开展行动。

五、钓鱼页面

除了电子邮件和网络钓鱼链接的内容结构之外，我们还确信攻击者使用了自定义的平台来创建和存储用户的详细凭据信息。我们还注意到，攻击者为桌面版和移动版Google及Yahoo!邮件服务设计了网页仿冒页面，将来还可能会扩展到其他服务。

在最近的攻击中，攻击者使用了一种有意思的技术，一旦他们的目标输入用户名和密码，攻击者会立即检查这些凭据，如果正确给出了这些信息，他们就会要求提供双因素验证码。

换而言之，攻击者会在自己的服务器上实时检查受害者的用户名和密码，即使启用了双因素身份验证（例如短信、验证APP或一键登录），他们也可以欺骗目标用户，并获取到相应的信息。

下图展现了网络钓鱼页面的一些示例，这些都是由该恶意组织精心制作的。

用于输入Gmail帐户密码的虚假页面：

用于输入Gmail帐户两步验证码的虚假页面：

用于输入Yahoo!帐户密码的虚假页面：

用于输入Yahoo!帐户两步验证码的虚假页面：

六、攻击者足迹

我们针对这一系列恶意活动展开深入研究，发现攻击者已经建立了大量的域名。根据最新调查结果显示，此类网络钓鱼活动在相对较短的时间内（2018年9月至11月）就使用了20多个域名。在撰写本报告时，网络钓鱼域名的数量有所增加。通过我们对这些服务器的更深入调查，发现了这些域名网络在近期的攻击中是如何被使用的。

此外，我们的技术分析显示，参与此恶意活动的人员使用了荷兰和法国的虚拟专用网络（VPN）和代理IP地址，来隐藏其原始位置。尽管他们付出了努力，但我们已经发现了足够的证据，追溯到攻击者所使用的真实IP地址。例如，在准备阶段，攻击者使用了来自伊朗的89.198.179[.]103和31.2.213[.]18。

我们对该恶意活动中一些域名和服务器进行了分析，发现其使用的方法、技术和目标与Charming Kitten（迷人小猫）组织非常相似，这是一群与伊朗政府有关联的黑客。因此，我们认为这一恶意组织已经重出水面，针对世界各地的用户发起新一轮网络攻击，并且更加关注以色列和美国地区。

七、总结

网络钓鱼攻击是伊朗黑客窃取数据和进行黑客攻击的最常用方法，但此次恶意活动中最重要的事实是它发生的时机。这场恶意活动是在2018年11月4日前后几周发动的，当时美国对伊朗实施了新一轮的制裁。该恶意活动试图通过渗透非伊朗的政治任务和对伊朗实施经济及军事制裁的当局帐户，来收集信息。

换而言之，与伊朗政府有关联的黑客组织，根据伊朗政府的政策、国际利益以及伊朗想要间接影响的地方来选择目标。

最后，我们向科技公司、政策制定者、民间社会学者和互联网用户提出一系列建议，从而有效减轻此类攻击的威胁，甚至抵御此类攻击。

7.1 对科技公司和政策制定者的建议

1、停止使用文本信息或短信的双因素认证方式。

2、使用安全密钥（例如YubiKey）对涉及敏感工作或活动的高级别人士进行双因素身份验证。

3、不要使用一键登录验证过程。

7.2 对民间社会学者和伊朗媒体的建议

1、向员工通报所有网络钓鱼威胁事件，并鼓励员工使用YubiKey等安全密钥进行双因素身份认证，并且激活Google的高级安全保护。

2、始终使用公司和机构的电子邮件帐户进行敏感通信，不要使用个人电子邮箱。根据公司或组织的通信策略，更改发件人策略框架或SPF6设置，例如限制从工作网络外部接收电子邮件。举例来说，G Suite允许管理员阻止接收未经授权的地址或域名发来的邮件。