伊朗APT黑客组织锁定全球12所大学发动网络钓鱼攻击

随着新学期大专院校陆续开学,锁定学术单位的黑客组织也蠢蠢欲动。端点防护企业Malwarebytes指出,他们自9月中旬,得知伊朗APT黑客组织Silent Librarian(也称为TA407、Cobalt Dickens),开始针对12所大学发动网络钓鱼攻击。根据他们掌握的情报资料,此次这个组织的攻击对象,是位于12个国家的大专院校,因此推测黑客在挑选攻击目标的范围,可能没有特定的区域。

这次行动并非是该组织首度锁定校园发动的攻击。事实上,他们曾在去年和前年的下半年,进行有关的攻击行动。而在2018年3月,美国司法部起诉9名疑似隶属该组织的伊朗人,指控他们攻击大学的目的,是窃取研究成果与专利。

Silent Librarian的手法究竟为何?Malwarebytes指出,该组织注册了与学校图书馆网站极为相似的域名名称,用来建造钓渔网站,网页内容与实际的图书馆网站登录页面雷同,用户被诱导之下,很可能不疑有他而输入账号与密码,而被黑客监听下来滥用。从该公司掌握的信息来看,不少此次钓渔网站的顶级域名名称(TLD),采用了.me、.tk、.cf结尾。而除了.me之外,后两者该组织曾在先前的攻击行动运用。

在锁定阿德莱德大学图书馆(University of Adelaide Library)的钓渔网站中,黑客所使用的域名为library“.”adelaide“.”crev“.”me,与该图书馆的域名library.adelaide.edu.au前半部相同,学校师生很可能没有留意到差异而输入了自己的账号和密码,成为此次攻击的受害者。

另一个本次攻击行动的特点,是黑客所使用的主机,实际上位于伊朗。不过,为了隐藏钓渔网站的真实位置,主机名称的部分,该组织是向Cloudflare进行注册而取得。

但使用当地主机的做法,显然与一般黑客不同。Malwarebytes指出,他们平常发现的攻击事件里,黑客多半会避免使用自己国家的主机来躲避执法单位关注,而这些伊朗黑客会这么做的原因,是因为欧美与伊朗之间缺乏司法之间的合作,导致使用自己国家的主机反而成为他们掩护的渠道。

对于此起攻击行动的范围,Malwarebytes认为他们找到的钓渔网站的域名,仅是其中的一小部分。尽管大部分网站已经下架,但该公司认为,攻击者很可能持续寻找其他的大专院校发动钓鱼攻击。

发表评论