揭秘多重人格的伊朗黑客組織—TA453

在 2021 年年末與 2022 年，Proofpoint 的研究人員發現 TA453 與 Charming Kitten、PHOSPHORUS 和 APT42 的攻擊活動存在重疊，并且不斷創新攻擊方法實現攻擊目標。在 2022 年 6 月，攻擊者開始使用被 Proofpoint 稱為多人模擬（MPI）的技術。通過該技術，TA453 將社會工程學提升到一個新的水平，攻擊者構建并控制了多個角色，來提高魚叉郵件的真實性。Proofpoint 此前曾在 TA2520 組織發起的攻擊行動中就發現過使用這種技術。

典型的 TA453 攻擊

Proofpoint 的研究人員發現 TA453 會偽裝成個人，例如記者、政策相關人員等。從歷史上來看，TA453 的攻擊目標通常是學者、政策制定者、外交官、記者和人權工作者。

幾乎所有的攻擊行動中，TA453 都會與攻擊目標進行一對一的對話，但這種情況在 2022 年年中發生了變化。

多重人格的 TA453

TA453 的攻擊方式從 2022 年 6 月開始發生轉變。其中一次攻擊中，TA453 偽裝成 FRPI 研究總監 Aaron Stein 的身份與攻擊目標進行對話。對話的內容涉及以色列、海灣國家和亞伯拉罕協議等，為后續發送惡意鏈接或者惡意文件提供故事背景。

【假冒 Aaron Stein 的電子郵件】

在電子郵件中，TA453 偽裝成的 Aaron Stein 在線上提到 PEW 研究中心全球態度研究主任 Richard Wike，這就是攻擊者對多重角色模擬（MPI）的應用。

電子郵件發送一天后，Richard Wike 就回復了該電子郵件。攻擊者通過這種方法來提高真實性背書并且提高攻擊目標回復概率，但此時未發現惡意文件或者惡意鏈接。

【假冒 Richard Wike 的回復】

2022 年 6 月下旬，TA453 以 Harald Ott 的身份聯系了一個專門從事基因組研究的攻擊目標，并且抄送了另外兩個攻擊者控制的賬戶：Centre for Universal Health in Chatham House's Global Health Programme 的助理主任 Claire Parry、Nature Biotechnology 的主編 Andrew Marshall，形成三個騙子對一個攻擊目標進行誘騙的局面。

【TA453 的針對醫學研究人員的攻擊】

當攻擊目標回復最初的電子郵件時，Harald 提供了一個 OneDrive 鏈接，通過該鏈接可以下載一個名為 Ott-Lab 371.docx 的惡意 Word 文檔文件。該文件的 SHA256 為：

f6456454be8cb77858d24147b1529890cd06d314aed70c07fc0b5725ac84542b。

針對醫療領域與基因組研究相關人員發起攻擊，并不是 TA453 的常態，但這也不是該攻擊者第一次表現出對醫療領域的關注。早在 2020 年 12 月，就發現過 TA453 開展了針對醫學研究人員的網絡釣魚活動。

2022 年 6 月，TA453 的 Carroll Doherty 聯系了一位參與核軍備控制的著名學者，討論可能存在的美俄沖突。攻擊者并不局限于只針對一個攻擊目標，而是同時針對同一所大學的兩個攻擊目標發起攻擊。在這一郵件中，Carroll Doherty 還抄送了另外三個 TA453 控制的角色：Daniel Krcmaric、Aaron Stein 與 Sharan Grewal。

【攻擊時間線】

其中一個攻擊目標回復了電子郵件，隨后 Carroll Doherty 好心地提供了原始電子郵件中引用的文章的 OneDrive 鏈接，點擊該鏈接會下載一份名為 The possible US-Russia clash.docx的文件。

【Carroll Doherty 發送電子郵件】

【Carroll Doherty 發送電子郵件】

Carroll Doherty 單獨發送了密碼，并表示文件是安全的。四天后，抄送的 TA453 角色之一 Aaron Stein 回復了 Carroll Doherty，在郵件中向攻擊目標表示歉意并重新發送了相同的 OneDrive 鏈接與密碼。

【抄送角色的助攻】

惡意文檔是類似的，都使用了遠程模板注入下載 Korg。

Korg - 遠程模板注入

部署的惡意文檔也是普華永道于 2022 年 7 月披露的 TA453 遠程模板注入文檔的最新版本。這些受密碼保護的文檔從 354pstw4a5f8.filecloudonline.com下載了啟用宏的模板文檔，在多個攻擊活動中重復使用特定的 filecloudonline.com主機。

下載的模板被 Proofpoint 稱為 Korg ，其中具有三個宏：Module1.bas、Module2.bas 與 ThisDocument.cls。宏代碼會收集用戶名、正在運行的進程列表以及用戶的公共 IP 等信息，然后使用 Telegram API 回傳這些信息。

Proofpoint 只發現了信標，并沒有觀察到任何后續的利用行為。TA453 的宏代碼中缺少代碼執行或命令和控制能力，這是不正常的。Proofpoint 推測，攻擊者可能是根據失陷主機的具體情況部署后續的攻擊利用。

歸因

Proofpoint 仍然將 TA453 歸因為伊朗的革命衛隊。業界披露的多份內容也都指向該結論，例如普華永道對 Charming Kitten 的分析、美國司法部對 Monica Witt 與 IRGC 附屬攻擊者的起訴以及其他相關分析報告。

Proofpoint 通過受害者、攻擊技術和基礎設施對 TA453 的多個小組進行區分。在他們的典型攻擊活動中，一些小組會在傳遞惡意鏈接之前與目標進行數周的良性對話。也有某些子組傾向于立即在電子郵件中就發送惡意鏈接。

可能與 TA453 相關的指標包括：

使用 Gmail、Outlook、Hotmail 或 AOL

使用的電子郵件地址不是機構的電子郵件

會話中包括其他人

會回復空白電子郵件

內容與中東問題有關

提供 Zoom 會話

結論

所有的攻擊者都會不斷迭代攻擊的技戰術。TA453 對多人模擬（MPI）技術的使用，表示他們也在不斷進步。最新的攻擊行動中，TA453 試圖發送一封空白電子郵件，然后在回復空白電子郵件的同時將所有偽裝身份都抄送上，這應該是在嘗試繞過安全檢測。

提醒從事國際安全領域的研究人員，特別是那些專門從事中東研究或核安全的研究人員，在收到不請自來的電子郵件時應保持高度的警惕。