英國NCSC警告：俄羅斯、伊朗相關黑客正瞄準我國關鍵行業

英國國家網絡安全中心（NCSC）周四警告說，與俄羅斯和伊朗國家相關的黑客發起了魚叉式釣魚攻擊，用于收集行動信息。

NCSC說："這些攻擊不是針對一般公眾，而是以特定部門為目標，包括學術界、國防、政府組織、非政府組織、智囊團，政治家、記者和活動家等。

NCSC將這些入侵行為歸咎于SEABORGIUM（又名Callisto、COLDRIVER和TA446）和APT42（又名ITG18、TA453和Yellow Garuda）。目前還沒有證據表明這兩個組織在相互合作。

該活動是典型的魚叉式網絡釣魚活動，黑客發送針對目標的信息，同時也花足夠的時間研究他們的興趣并確定他們的社會和職業圈子。

最初的接觸被設計成看似無害，試圖獲得他們的信任，在進入利用階段之前可能會持續數周。采取惡意鏈接的形式，可導致憑證被盜還包括數據外流。為了維持這種活動，據說黑客在社交媒體平臺上創建了假的個人資料，冒充現場專家和記者，欺騙受害者打開鏈接。

被盜的憑證隨后被用來登錄目標的電子郵件賬戶并訪問敏感信息，此外還設置了郵件轉發規則以保持對受害者通信的持續可見性。

俄羅斯國家支持的SEABORGIUM組織有建立模仿合法國防公司和核研究實驗室的虛假登錄頁面的歷史，以完成其憑據收集攻擊。

APT42作為伊朗伊斯蘭革命衛隊（IRGC）的間諜部門運作，據說與PHOSPHORUS有重疊之處，是一個被追蹤為Charming Kitten的更大團體的一部分。

據了解，該黑客組織與SEABORGIUM一樣，偽裝成記者、研究機構和智囊團，使用不斷變化的工具和戰術與目標接觸，以適應IRGC不斷變化的優先事項。

企業安全公司Proofpoint在2022年12月披露了該組織 "使用被破壞的賬戶、惡意軟件和對抗性誘餌來攻擊具有各種背景的目標，從醫學研究人員到房地產商到旅行社"，稱其偏離了 "預期的網絡釣魚活動"。

此外，這些活動中值得注意的一個方面是，使用目標的個人電子郵件地址，這可能是規避企業網絡安全控制的一種手段。NCSC運營總監Paul Chichester說："這些由位于俄羅斯和伊朗的威脅者發起的活動繼續無情地追求他們的目標，試圖竊取在線憑證并破壞潛在的敏感系統。