威胁分析小组 (TAG) 是一个旨在防止对 Google 服务进行针对性攻击的组织,它已针对伊朗政府支持的黑客组织 APT35 发出正式警告。在这个官方警告中,TAG 解释了 APT35 使用的方法。
据 TAG 称,APT35 是一个黑客组织,一直在为伊朗政府的利益进行间谍活动,最近在 2020 年美国总统大选期间利用一名选举官员的电子邮件地址攻击了身份验证站。
2021 年初,APT35 通过入侵英国大学附属网站并发送电子邮件要求他们参加虚假的在线研讨会来发起攻击。为了参加这个虚假的在线研讨会,他们要求将两步验证码发送到需要身份验证信息的设备,例如 Google 帐户或 Microsoft 帐户。
据TAG称,APT35从2017年前后就开始以同样的方式进行攻击,据说攻击的目标是政府机构、学术机构、媒体公司、非政府组织等。
2020 年 5 月,TAG 发现 APT35 试图将间谍软件上传到 Google Play 商店。他们试图上传的间谍软件伪装成 VPN 软件并安装来窃取敏感信息,例如电话和短信内容、联系人和位置信息。 VPN 软件在用户安装之前立即被检测到并从 Google Play 商店中删除,但在 2021 年 7 月,据说他们试图在 Google Play 商店以外的应用程序分发平台上分发类似的应用程序。
TAG APT35 最突出的特点之一是欺骗会议官员。 APT35 通过发送一封关于意大利现场会议的电子邮件进行攻击,并在用户响应时发送一封包含网络钓鱼链接的电子邮件。根据 TAG 的说法,单击第二封电子邮件中的链接会将您重定向到您的钓鱼域。据说使用了URL缩短服务来伪装APT35 URL,其中据说使用了伪装Google表单重定向到钓鱼网站的方法。
APT35 采用的一种新颖方法是使用 Telegram,一种个性化的 SNS。 APT35 在通过公共渠道(包括 JavaScript 网络钓鱼页面)不加选择地发送消息时选择 IP 和区域设置,这些页面会在 Telegram 页面加载时发出通知。
TAG 向 Telegram 报告了用于发送消息的机器人 APT35,并且 Telegram 已经删除了该机器人。 TAG 鼓励管理员认真对待攻击警报通知,参与高级保护计划,并使用双因素身份验证。相关信息可以在这里找到。
Add comment