安全公司 ClearSky 发现伊朗 APT 组织 OilRig 自 2015 年以来一直针对以色列、中东和其他国家。在最近的攻击中,他们建立了一个假的 VPN 门户网站并传播具有合法数字签名的恶意软件,攻击目标涉及多个以色列 IT 供应商、金融机构和邮局。
ClearSky 的安全专家发现,伊朗黑客建立了一个假的 Juniper Networks VPN 网站,并使用来自 IT 供应商的电子邮件帐户发送邮件来诱骗受害者。恶意电子邮件中的链接指向该虚假网站,并要求用户输入用户名和密码,之后会要求受害者安装“ VPN 客户端”,该 Juniper VPN 软件中捆绑了恶意软件 Helminth 。
值得注意的是整个软件包( VPN 客户端和恶意软件)使用了赛门铁克颁发给 AI Squared(一个开发辅助功能软件的合法软件公司)的有效代码签名证书进行数字签名。
此外黑客还注册了四个属于牛津大学的域名( oxford-symposia[.]com、oxford-careers[.]com、 oxford[.]in 、 oxford-employee[.]com )当受害者访问假冒的牛津大学招聘网站时,网站会提示需要在发送简历邮件之前下载一个预先注册工具(恶意软件),该恶意工具也使用 AI Squared 的证书签名。
研究员意外发现 OilRig APT 组织使用的 C&C 服务器 IP 地址 83.142.230.138 与 Chafer 黑客组织使用的是一样的。这意味着 Chafer 和 Oilrig 是同一个伊朗 APT 组织。
from hackernews.cc.thanks for it.