黑客多年来一直伪装成健美操教练，以航空航天员工为目标

一个伊朗网络间谍组织在Facebook上伪装成一名健美操教练，试图用恶意软件感染航空航天防御承包商的一名员工的机器，这是一项为期多年的社会工程和有针对性的恶意软件运动的一部分。

企业安全公司Proofpoint将这一秘密行动归因于它追踪的一个与国家结盟的威胁行为体TA456，以及更广泛的网络安全社区，其绰号为“龟壳”和“帝国小猫”。

Proofpoint在与《黑客新闻》分享的一份报告中说：“TA456利用社交媒体人物‘Marcella Flores’，与一家航空航天防御承包商的一家小型子公司的一名员工建立了跨公司和个人通信平台的关系。”。“在2021年6月初，威胁演员试图通过通过正在进行的电子邮件通信链发送目标恶意软件来利用这种关系。”

本月早些时候，脸谱网透露，它采取了步骤，拆除了一个“复杂”的网络间谍活动，由龟甲黑客在美国、英国和欧洲的大约200名军事人员和航空公司中，在其平台上使用大量假冒的在线人物角色。据信，这名威胁行为人通过与伊朗IT公司Mahak Rayan Afraz（MRA）的合作，与伊斯兰革命卫队（IRGC）松散结盟。

现在，根据Proofpoint的说法，一个由TA456威胁参与者创建的精心制作的假角色，参与了与一名未具名的航空航天雇员的来回交流，时间可追溯到2019年，最终交付了一个名为LEMPO的恶意软件，该软件旨在建立持久性，执行侦察，过滤敏感信息。感染链是通过一封包含OneDrive URL的电子邮件触发的，该URL声称是一项饮食调查—；嵌入宏的Excel文档—；只能通过连接到攻击者控制的域来秘密检索侦察工具。

自那以后，Facebook在其平台上暂停了Flores账户，以协调一致地取缔与伊朗黑客活动有关的用户。

Proofpoint研究人员说：“TA456通过多年来与目标员工建立关系，展示了一项重大的运营投资，以便部署LEMPO，在国防工业基地内的高度安全的目标环境中进行侦察。”。“这场运动证明了某些与国家结盟的威胁的持久性，以及他们愿意为支持间谍行动而进行的人类参与。”