研究人員發現了一個長達數年的社交工程攻擊,一個伊朗網路間諜組織在Facebook上偽装成一名健美的有氧教練,發送惡意軟體給航太業承包商,以感染對方的電腦。據資安業者Proofpoint稱,這塲秘密攻擊行動是由他們追蹤的伊朗國家級駭客TA456發動的,TA456又名Imperial Kitten或Tortoiseshell。
虛假角色 Marcella Flores–Photo Credit: Proofpoint
根據Proofpoint最近的一份報告,TA456精心製作了一個虛假的角色 “Marcella Flores”,與一家航太國防承包商員工建立通訊關係,被發現追溯至2019年已向該員工進行交流,目的在於投遞一個名為的惡意軟體LEMPO。據了解,感染鏈是通過一封含有 OneDrive URL 的電子郵件觸發的,一份偽裝成飲食調查的嵌入式巨集Excel檔。打開後,惡意軟體LEMPO對目標電腦建立持久性,執行偵察,並竊取機密數據,再通過 SMTPS 將其發送到由攻擊者控制的電子郵件帳戶。最後,惡意軟體LEMPO通過刪除當天的主機證據來掩蓋其踪跡。
Marcella Flores 的角色背後,攻擊者花費了至少 18 個月的時間運作該帳戶並致力維護該虛假角色,加上攻擊者與受害者的互動, 這意味著國家級駭客願意為其間諜行動付出龐大的時間和人力,社交工程作為惡意駭客活動的一部分是有效的,因此社交媒體上與身份不明的人打交道時保持警惕尤其重要,也應注意勿在社交媒體上的”過度分享” 個人資訊。
有關情資:
TA456 Targets Defense Contractor with Alluring Social Media Persona