随着各高校的开学, Silent Librarian 黑客组织增加了鱼叉式网络钓鱼攻击. 显然, 他们的目标很明确.
Silent Librarian 是一个来自伊朗的黑客组织, 也被称为 TA407 和 COBALT DICKENS. 据研究人员称, 恶意活动已经持续了近两年, 但是在 COVID-19 封锁之后, 随着学生和学校的工作人员回归, 该组织的攻击又出现了激增.
事实上, 2018 年 3 月, 美国司法部起诉 9 名伊朗公民, 称他们以大学为目标窃取敏感的研究记录. 从那时起, 该组织已走向全球, 其活动至今仍在进行.
Silent Librarian 通过注册与学校 (大学) 相似的顶级域名 (TLD) 来运作. 该小组会先分发一些钓鱼文件, 包含将受害者定向到克隆的大学登录门户的链接或 html 附件. 这些虚假的门户网站做得非常逼真. 通过查看该小组运营的某些站点, 可以发现其中许多站点的登录页面是从原始大学站点克隆的, 目的就是诱骗用户提供其登录凭据.
钓鱼网站涉及的大学包含了
- Victoria University (维多利亚大学 )
- Universiteit Utrecht
- Stony Brook University
- The University of Bristol
- University of Cambridge(剑桥大学)
- The University of Toronto(多伦多大学)
- Glasgow Caledonian University
- The University of Adelaide Library
伪造和真实的阿德莱德大学网站
尽管该组织使用 Cloudflare 进行了行踪掩盖, 但研究人员仍能够发现一些这些网站是由伊朗本地托管公司提供支持的. 而这可能是因为美国对伊朗实施制裁, 这使得与欧洲, 美国与伊朗公司打交道几乎成为不可能. 选择使用伊朗本地托管公司, 被发现的可能性较小.
伊朗的黑客组织一直在不断地提升水平, 去年 3 月, 微软查获伊朗黑客使用的 99 个网络钓鱼网站, 今年 2 月, 研究人员发现了 "Fox Kitten Campaign", 其中一个伊朗 APT 组织被发现入侵 VPN 服务器以安装后门程序, 上个月, 一个长达六年的名为 Rampant Kitten 的活动也被揭露.
伊朗的行动, 还在继续.
来源: https://www.freebuf.com/news/252153.html