伊朗网络间谍组织虚假冒充智库员工进行网络钓鱼攻击

关键要点

• 伊朗政府相关网络间谍组织“TA453”或“Charming Kitten”通过冒充智库员工来进行网络钓鱼，瞄准中东核武器专家。
• 该组织有针对美国和欧洲政府官员的历史，近期活动集中在3到5月，内容包括伪装邮件与钓鱼链接。
• 通过伪造的电子邮件获取敏感信息，并尝试在目标计算机上安装恶意软件。
• 此次活动显示出该组织在针对特定受害者时的高度针对性。

根据Proofpoint的研究人员，伊朗政府相关的网络间谍组织正在冒充智库员工，进行针对中东核武器专家的网络钓鱼活动。

该组织被称为“TA453”、“CharmingKitten”或“APT35”，具体名称取决于所依赖的威胁情报服务。该组织长期以来一直针对美国和欧洲的政府官员、政客、智库以及涉及关键基础设施的实体。

最新的攻击活动，时间跨度为今年的三月至五月。活动开始时发送一些无害的电子邮件，试图与西方的外交政策研究人员建立联系。

这些初始邮件随后跟随的钓鱼邮件包含一个需要密码的DropBox链接，声称是获取研究材料。然而，这实际上执行了.RAR和.LNK文件，并运行一个PowerShell脚本，旨在在受害者的系统上安装后门，并调用云服务提供商以获取额外的恶意软件负载。

这是Charming Kitten部署的恶意软件负载GorjolEcho的完整感染链。 (来源: Proofpoint)

Proofpoint的高级威胁研究员Joshua Miller告诉SCMedia，此次活动似乎定位极为精准：截至目前，他们了解到的接受钓鱼邮件的个人不超过10人。Miller表示，他们对活动的了解限制于从Proofpoint客户那里获取的数据和后续信息，且没有人成功感染。

这并不是CharmingKitten首次瞄准智库。美国官员已将其与伊朗伊斯兰革命卫队的情报组织联系在一起，和其他研究机构，这似乎是为了收集有关西方外交政策决策的信息。虽然该组织过去主要针对政府官员，但通过针对和渗透这些讨论的边缘方，他们或许能更轻松地获取到所需信息。

“当我们看到他们追踪智库和学术界时，他们基本上是在获取西方政府在核制裁或外交政策方面的政策立场。虽然他们想要获取官方立场，但也想获取此背后的思考和讨论过程，”Miller说道。

在一个实例中，该组织在5月中旬多次联系了一家位于美国的专注于外交事务的智库的媒体关系联系人。

第一封电子邮件声称是来自“皇家联合服务研究院”的高级研究员兼反恐与冲突副主任Karl Roberts，请求对一项关于伊朗的研究进行反馈。

“我们正在研究安全问题，并正在进行一个名为‘全球安全背景下的伊朗’的项目，评估亚伯拉罕协定对伊朗区域角色和中东地区安全的影响，”该演员在提供的邮件截图中写道。“我们已经与一些专家进行了交流。我们对此进行了研究，很高兴能让您阅读。”

不久之后，名为“EmilyWinterbotham”的假冒Roberts的上级随即跟进，称“教授Karl…通知我他已经向您发送了项目的完整部分以及如何访问共享文件夹，但遗憾的是，他尚未收到您的回复。”

任何在互联网搜索的用户都会发现Roberts和Winterbotham确实是RUSI的真实研究员，但这些电子邮件是通过其他服务如Gmail和Yahoo伪造的，以欺骗受害者相信他们来自真实专家。Miller表示，Proofpoint已就此活动联系了RUSI，并将信息提供给了信息共享和分析中心的非政府组织。

尽管Proofpoint观察到Charming Kitten使用