伊朗老牌APT组织被发现伪造别国安全公司官网实施钓鱼

一个试图伪装成网络安全公司的伊朗 APT 组织不慎暴露了此前的钓鱼攻击活动。

这个伊朗 APT 组织即 Charming Kitten（或称 Newscaster 或 Newsbeef）。

伊朗 APT 组织注册相似域名

以色列安全公司 ClearSky Security 指出，该 APT 组织复制了其官方网站并托管在 clearskysecurity.net 上，这个域名类似于位于 ClearSky.com 上的官方 ClearSky 网站。

ClearSky 指出，“Charming Kitten 构建了一个模仿我们公司的钓鱼网站。他们从公共网站上复制了网页并将其中一个网页更改为含有多个服务‘登录’选项的网页。”该公司表示，这些登录选项都是钓鱼网站，能将受害者的凭证发送给攻击者；而合法的官方网站并没有登录选项。

钓鱼网站从未建成或使用过

当 ClearSky 公司的研究员发现了这个虚假站点时，Charming Kitten 仍然在构建网站。ClearSky 公司表示当时某些页面还含有出错信息。

另外，Charming Kitten 在 ClearSky 于6月12日摒弃的一台老旧服务器上托管虚假的 clearskysecurity.net 域名。ClearSky 公司表示从该域名托管的老旧活动中找到了这些网页，这清楚地说明该 APT 组织是虚假网站的背后黑手。

ClearSky 公司表示由于网站尚未建成，因此认为伊朗黑客并未设法成功钓鱼。该网站存活的时间并不长，它被Google的安全浏览API标记为可疑站点，几小时后被迫下线。

伊朗老牌 APT 组织

Charming Kitten APT 组织是在野检测到的首批伊朗国家黑客组织之一。该组织在近年来非常活跃，曾发动 Saffron Rose、Newscaster、StoneDrill 等黑客活动。

该组织在历史上曾针对伊朗和美国目标发动攻击，而且主要实施的是鱼叉式钓鱼攻击。去年该组织创建了 StoneDrill 擦除器后才更改技术手段。

伊朗人 Behzad Mesri 在美国被起诉入侵 HBO 以及窃取《权力游戏》文件，而他被认为是 Charming Kitten APT 的成员。

Charming Kitten 是伊朗的一个网络间谍组织，其它间谍组织包括 Rocket Kitten （很多研究人员认为它是 Charming Kitten 2.0）、CopyKitten、OilRig 和 Magic Hound。

最初，这些黑客组织是由军队人员和私营部门的合同工组建而成，每个黑客组织都独立行动。不过近年来，这些组织之间的界限变得越来越模糊，它们开始共享相同的运营资源如钓鱼工具包、服务器甚至是攻击人员等。

本文由360代码卫士翻译自BleepingComputer

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。