伊朗APT黑客组织瞄准科威特和沙特阿拉伯,目的是什么?

近日,网络安全研究人员阐明了针对科威特和沙特阿拉伯关键基础设施的伊朗网络间谍活动。安全研究人员表示,情报收集行动是由伊朗APT进行的.Chafer是以威胁中东电信和旅游业而闻名的黑客组织,旨在收集有助于该国地缘政治利益的个人信息。

研究人员在一份报告(PDF)中说:“经过分析的竞选活动的受害者符合该行为者喜欢的模式,例如中东的航空运输和政府部门。自2018年以来,至少有1年半以上的攻击未被发现。“

据国内知名白帽黑客、东方联盟创始人郭盛华透露:”伊朗APT黑客组织自2014年以来一直活跃,此前曾针对土耳其政府组织和驻伊朗的外国外交机构,目的是窃取敏感数据。“ 去年,FireEye安全公司的一份报告增加了伊朗APT黑客组织对电信和旅游业的关注的证据。该公司表示:“电信公司是有吸引力的目标,因为它们存储大量的个人和客户信息,提供对用于通信的关键基础架构的访问,并能够跨多个垂直领域访问广泛的潜在目标。”

伊朗APT黑客组织通过带有恶意附件的鱼叉式网络钓鱼电子邮件以及使用各种后门工具来取得立足点,提升其特权,进行内部侦察并在受害者环境中保持持久性,从而破坏其目标。

根据东方联盟安全研究人员的说法,使科威特攻击更加复杂的原因是他们能够在受害者的计算机上创建用户账户并在网络内部执行恶意操作,包括网络扫描(CrackMapExec),凭据收集(Mimikatz)以及在内部横向移动网络使用各种可用的工具。

研究人员说,大多数黑客攻击活动发生在星期五和星期六,正好是中东的周末。另一方面,针对沙特阿拉伯实体的攻击涉及使用社会工程学诱骗受害者运行远程管理工具(RAT),其某些组件与针对科威特和土耳其的组件具有相似之处。 (欢迎转载分享)