美国国防承包商如何爱上这位漂亮的美女健美操教练并让他们的电子邮件被黑客入侵
一个位于伊朗的黑客组织花了大约一年半的时间开展了一场黑客活动,他们伪装成美女有氧运动教练,目的是用恶意软件监视和感染美国国防雇员、承包商和航空航天机构,试图窃取敏感信息。
根据Proofpoint专家的说法,该活动的运营商创建了一个据称由美女健美操教练“Marcella Flores”(马塞拉·弗洛雷斯)控制的虚假个人资料,使用Facebook、Instagram和电子邮件服务器等平台来欺骗受影响的用户。攻击者使用这些虚假配置文件来欺骗用户并相对轻松地分发恶意软件。
专家将这次活动归因于被确定为TA456或Tortoiseshell的黑客组织,这是一个由伊朗政府赞助的黑客组织,与伊斯兰革命卫队 (IRGC)关系密切。
在威胁演员创建的社交媒体资料中,马塞拉·弗洛雷斯被宣布为一名专业健美操教练,居住在英国利物浦市,拥有一长串假想的朋友、专业联系人和客户。黑客使用Marcella Flores的个人资料在这些平台上搜索感兴趣的人,以私人教练的身份提供他们所谓的服务,要求对进食调查做出回应,甚至与受影响的用户调情。
在获得受影响用户的信任后,攻击者使用个人Gmail账户发送据称托管个人文档的OneDrive链接;实际上,该平台托管了一个上传了新版本Lideric恶意软件(也称为Lempo )的文件。该恶意软件在Windows系统中生成持久性,然后开始搜索和窃取敏感信息,例如用户名和登录凭据,这些信息被发送到由黑客控制的服务器。
泄露的信息将使威胁行为者能够远程访问VPN和远程管理平台,从而可以部署雄心勃勃的网络间谍活动和复杂的网络钓鱼攻击。在收到有关它的报告后,Facebook删除了Marcella Flores在其各种平台上的个人资料,此外还发布了与此黑客活动相关的安全警报。
Facebook进一步透露,该组织的目标是美国、英国和欧洲的大约200名军事人员和航空航天和国防公司。
这清楚地证明了威胁行为者可以操作的复杂性,为部署雄心勃勃的社会工程和网络钓鱼活动创建了一个全面的虚假的基础“袜子账户”。
这起事件虽然是黑客网络攻击事件,但是性质延续间谍形态,堪称社工典范事件。这里也给我国涉及敏感行业的人员提了个醒,不光现实中少做梦避免和未知女性接触(太多例子证明栽跟头),而且应尽量避免与社交媒体上的未知账户联系,间谍和黑客更懂社会工程学。