一个与伊朗结盟的黑客组织使用一种新的、精心设计的网络钓鱼技术,他们使用多个角色和电子邮件帐户来引诱目标认为这是一个真实的电子邮件对话。
攻击者向目标发送一封电子邮件,同时抄送他们控制的另一个电子邮件地址,然后从该电子邮件中回复,进行虚假对话。
Proofpoint 的研究人员首次注意到它,将其命名为“多角色模拟”(MPI),该技术利用“社会证明”的心理学原理来模糊逻辑思维,并为网络钓鱼线程添加可信度元素。
TA453 是一个伊朗威胁组织,据信在 IRGC(伊斯兰革命卫队)内部开展活动,此前曾有人看到该组织 冒充记者 以针对中东的学者和政策专家。
多重人格模拟
TA453 的新策略需要他们付出更多的努力来进行网络钓鱼攻击,因为每个目标都需要陷入由假人物或袜子木偶进行的精心制作的真实对话中。
然而,额外的努力得到了回报,因为它创建了一个看起来逼真的电子邮件交换,这使得对话看起来合法。
Proofpoint 报告中共享的一个示例 可追溯到 2022 年 6 月,发件人伪装成 FRPI 的研究主任,电子邮件发送给目标,并抄送了 PEW 研究中心的全球态度研究主任。
发送到目标的网络钓鱼消息和第二个假角色 (Proofpoint)
第二天,冒充的 PEW 主任回答了 FRPI 主任发来的问题,制造了一种诚实对话的虚假感觉,会诱使目标加入。
在 Proofpoint 看到的另一个涉及专门从事基因组研究的科学家的案例中,CCed 角色回复了一个 OneDrive 链接,该链接导致下载带有恶意宏的 DOCX 文档。
在 TA453 对两名专门研究核军备控制的学者发起的第三次 MPI 网络钓鱼攻击中,威胁行为者 CC 了三个角色,进行更复杂的攻击。
第三个 MPI 攻击示例的时间线 (Proofpoint)
在所有情况下,威胁行为者都使用个人电子邮件地址(Gmail、Outlook、AOL、Hotmail)作为发件人和被抄送人的地址,而不是来自冒充机构的地址,这是可疑活动的明显迹象。
恶意载荷
在 TA453 最近的活动中,通过 OneDrive 链接被诱骗下载的目标文件是执行模板注入的受密码保护的文件。
“下载的模板,被 Proofpoint 称为 Korg,具有三个宏:Module1.bas、Module2.bas 和 ThisDocument.cls,”报告详细说明。
“这些宏从 my-ip.io 收集用户名、正在运行的进程列表以及用户的公共 IP 等信息,然后使用 Telegram API 泄露这些信息。”
研究人员无法通过侦察信息信标阶段,但假设在后续步骤中会发生额外的利用,以赋予远程威胁参与者在主机上执行代码的能力。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客现在使用“袜子木偶”进行更逼真的网络钓鱼攻击
