伊朗黑客冒充记者诱骗受害者安装恶意软件

伊朗一个以攻击政府、国防技术、军事和外交部门而闻名的网络间谍组织现在正在冒充记者通过LinkedIn和WhatsApp接近目标，并用恶意软件感染他们的设备。

以色列公司Clearsky在详细介绍“迷人小猫”APT集团的新策略时说，“从2020年7月开始，我们已经确定了该集团的一个新TTP，模仿《德意志之声》和《犹太日报》，使用电子邮件和WhatsApp消息作为他们接近目标的主要平台，并说服他们打开恶意链接。”

Clearsky在周四的一份分析报告中指出，这是该威胁行为人首次通过WhatsApp和LinkedIn实施水坑攻击，其中还包括给受害者打电话。

在该公司向德国之声（Deutsche Welle）通报了他们网站上的模仿和水坑后，这家德国广播公司证实，“这只迷人的小猫模仿的记者在过去几周没有向受害者或以色列的任何其他学术研究人员发送任何电子邮件。”

至少自2017年12月以来，《迷人的小猫》（又名APT35、Parastoo、NewsBeef和Newscaster）曾与一系列秘密活动联系在一起，目的是窃取人权活动人士、学术研究人员和媒体的敏感信息。


水坑—；在这种情况下，一个恶意链接嵌入了受损的德国之声域名—；通过WhatsApp发布了“信息窃取者”恶意软件，但在受害者第一次通过经过尝试和测试的社会工程方法接触之前，他们的目的是吸引学者在在线研讨会上发言。

“通信从发送给目标的电子邮件开始，开始对话，”Clearsky解释道。“在与目标进行简短对话后，可爱的小猫攻击者请求将对话移动到WhatsApp。如果目标拒绝移动到WhatsApp，攻击者将通过假冒的LinkedIn配置文件发送消息。”

在一种情况下，对手甚至会通过发消息和打电话给受害者来获得目标的信任，然后引导受害者通过聊天中先前共享的恶意链接连接到网络研讨会。

虽然APT35可能已经掌握了一个新的策略，但这并不是伊朗黑客第一次利用社交媒体渠道对感兴趣的人员进行间谍活动。

在iSIGHT Partners（现为FireEye所有）于2014年发现的一项为期三年的“新闻播音员行动”中，该威胁行为人被发现创建了虚假Facebook账户和虚假新闻网站，以监视美国、以色列和其他国家的军事和政治领导人。

Clearsky的研究人员说：“在这次活动中，我们观察到攻击者愿意使用WhatsApp电话和合法的德国电话号码直接与受害者通话。这种TTP很少见，会危及攻击者的假身份。”。