伊朗駭客鎖定阿德萊德大學圖書館發動釣魚攻擊的網站

伊朗駭客鎖定阿德萊德大學圖書館發動釣魚攻擊的網站

圖片來源: 

Malwarebytes

隨著新學期大專院校陸續開學,鎖定學術單位的駭客組織也蠢蠢欲動。端點防護業者Malwarebytes指出,他們自9月中旬,得知伊朗APT駭客組織Silent Librarian(亦稱為TA407、Cobalt Dickens),開始針對12所大學發動網路釣魚攻擊。根據他們掌握的情資,此次這個組織的攻擊對象,是位於12個國家的大專院校,因此推測駭客在挑選攻擊目標的範圍,可能沒有特定的區域。

這次行動並非是該組織首度鎖定校園發動的攻擊。事實上,他們曾在去年和前年的下半年,進行有關的攻擊行動。而在2018年3月,美國司法部起訴9名疑似隸屬該組織的伊朗人,指控他們攻擊大學的目的,是竊取研究成果與專利。

Silent Librarian的手法究竟為何?Malwarebytes指出,該組織註冊了與學校圖書館網站極為相似的網域名稱,用來建造釣魚網站,網頁內容與實際的圖書館網站登入頁面雷同,使用者被誘導之下,很可能不疑有他而輸入帳號與密碼,而被駭客側錄下來濫用。從該公司掌握的資訊來看,不少此次釣魚網站的頂級網域名稱(TLD),採用了.me、.tk、.cf結尾。而除了.me之外,後兩者該組織曾在先前的攻擊行動運用。

在鎖定阿德萊德大學圖書館(University of Adelaide Library)的釣魚網站中,駭客所使用的網域為library[.]adelaide[.]crev[.]me,與該圖書館的網域library.adelaide.edu.au前半部相同,學校師生很可能沒有留意到差異而輸入了自己的帳號和密碼,成為此次攻擊的受害者。

另一個本次攻擊行動的特點,是駭客所使用的主機,實際上位於伊朗。不過,為了隱藏釣魚網站的真實位置,主機名稱的部分,該組織是向Cloudflare進行註冊而取得。

但使用當地主機的做法,顯然與一般駭客不同。Malwarebytes指出,他們平常發現的攻擊事件裡,駭客多半會避免使用自己國家的主機來躲避執法單位追蹤,而這些伊朗駭客會這麼做的原因,是因為歐美與伊朗之間缺乏司法之間的合作,導致使用自己國家的主機反而成為他們掩護的管道。

對於此起攻擊行動的範圍,Malwarebytes認為他們找到的釣魚網站的網域,僅是當中的一小部分。儘管大部分網站已經下架,但該公司認為,攻擊者很可能持續尋找其他的大專院校發動釣魚攻擊。


Advertisement

更多 iThome相關內容