谷歌屏蔽了黑客雇佣组织运营的数十个恶意域名

谷歌的威胁分析小组（TAG）周四透露，它已采取行动，屏蔽了来自印度、俄罗斯和阿联酋的黑客出租集团运营的多达36个恶意域名。

以类似于监视软件生态系统的方式，黑客雇佣公司为其客户配备了针对公司以及活动家、记者、政客和其他高风险用户的有针对性的攻击能力。

两者的不同之处在于，虽然客户从商业供应商那里购买间谍软件，然后自己部署，但众所周知，黑客雇佣攻击背后的运营商代表客户进行入侵，以掩盖其作用。

Google TAG主管Shane Huntley在一份报告中表示：“黑客雇佣的情况是不稳定的，无论是攻击者如何组织自己，还是他们在不同客户的要求下在一次活动中追求的广泛目标”。

“一些黑客雇佣攻击者公开向任何愿意付费的人宣传他们的产品和服务，而其他人则更谨慎地向有限的观众销售”。

印度黑客雇佣运营商最近发起的一场运动据说针对塞浦路斯的一家IT公司、尼日利亚的一家教育机构、巴尔干半岛的一家金融科技公司和以色列的一家购物公司，这表明受害者的范围很广。

谷歌标签公司表示，该公司自2012年以来一直在跟踪这家印度公司，该公司与一系列凭证钓鱼攻击有关，目的是获取与政府机构、亚马逊网络服务（AWS）和Gmail账户相关的登录信息。

该活动涉及发送包含流氓链接的“矛”式网络钓鱼电子邮件，点击该链接后，会启动由攻击者控制的网络钓鱼页面，该页面旨在虹吸毫无戒心的用户输入的凭据。目标包括沙特阿拉伯、阿联酋和巴林的政府、医疗和电信部门。

谷歌标签将印度雇佣演员的黑客行为归因于一家名为Rebsec的公司，根据其休眠的推特账户，该公司是“Rebession Securities”的缩写，总部位于阿姆利则市。截至发文时，该公司的网站正在“维护”中，该网站还声称提供公司间谍服务。

类似的一系列针对记者、欧洲政界人士和非营利组织的证件盗窃袭击与俄罗斯演员Void Balaur有关，Void Balaur是趋势科技于2021首次记录的一个网络雇佣军组织。

在过去的五年里，据信该组织专门挑选了Gmail、Hotmail和Yahoo！以及像abv这样的区域性网络邮件提供商、背景、邮件、ru、收件箱、lv和UKR。

正如大赦国际之前在2018年发现的那样，这些网络钓鱼攻击需要使用密码重置诱饵从中东和北非的政府、教育和政治组织的目标那里窃取凭据。

在账户泄露后，威胁行为人通过向合法的电子邮件应用程序（如Thunderbird）授予OAuth令牌、生成应用程序密码以通过IMAP访问该账户，或将受害者的Gmail账户链接到第三方邮件提供商上对手拥有的账户来保持持久性。

一周前，Google TAG公布了一家名为RCS Lab的意大利间谍软件公司的详细信息，该公司的“隐士”黑客工具被用于攻击意大利和哈萨克斯坦的Android和iOS用户。