被称为沉默图书馆员/ TA407 / Cobalt Dickens的威胁演员通过矛网络钓鱼活动积极地定向大学,因为学校和大学回来。
9月中旬,我们的一家客户从这个APT集团的新积极运动倾斜。基于许多预期的受害者,我们可以告诉静音图书管理员不会限制特定国家,但试图获得更广泛的覆盖范围。
尽管已经确定并被删除了许多网络钓鱼网站,但威胁演员已经建立了足够的人,以便继续对员工和学生的成功运动。
具有完美考勤记录的持久威胁演员
2018年3月,九名伊朗人被起诉由美国司法部与大学和其他组织进行攻击,目标是窃取研究和专有数据。
然而,两者都在8月份2018和2019沉默的图书馆员在新的学年中排队,再次针对十几个国家的同类受害者。
在大学工作的IT管理人员认为,考虑到他们的客户,即学生和教师,他们是最难以保护的特别艰难的工作。尽管如此,他们也有助于和访问研究,这些研究可能是数百万美元或数十亿美元。
考虑到伊朗面临持续的制裁,它努力在包括技术在内的各个领域跟上世界的发展。因此,这些袭击代表了国家利益,而且资金充足。
网络钓鱼域名注册中的模式
新域名遵循先前报道的相同模式,除了它们将顶级域名交换为另一个。我们知道威胁行为者使用了。在他们过去反对一些学术直觉的运动中,我说“TLD”,现在仍然是这样。tk”和“.cf”。
这个新的网络钓鱼活动已经被推特上的几个安全研究人员跟踪了,特别是彼得克鲁斯来自战略与国际研究中心安全组.
| 网络钓鱼网站 | 合法的网站 | 目标 |
| library.adelaide.Crev.me. | library.adelaide.edu.au. | 阿德莱德大学图书馆 |
| signon.adelaide.edu.au.itlib.me | library.adelaide.edu.au. | 阿德莱德大学图书馆 |
| blackboard.gcal.crev.me | blackboard.gcal.ac.uk | 格拉斯哥喀里多尼亚大学 |
| blackboard.stonybrook.ernn.me | Blackboard.Stonybrook.edu. | 石溪大学 |
| Blackboard.Stonybrook.nrni.me. | Blackboard.Stonybrook.edu. | 石溪大学 |
| namidp.services.uu.nl.itlib.me | namidp.services.uu.nl. | Universiteit UTRECHT. |
| UU.BlackBoard.rres.me. | uu.blackboard.com | Universiteit UTRECHT. |
| librarysso.vu.cvrr.me | librarysso.vu.edu.au | 维多利亚大学 |
| ole.bris.crir.me | Ole.bris.ac.uk. | 布里斯托大学 |
| idpz.utorauth.uttonto.ca.itlf.cf. | idpz.utorauth.uttonto.ca. | 多伦多大学 |
| raven.cam.ac.uk.iftl.tk | raven.cam.ac.uk. | 剑桥大学 |
| login.ki.se.iftl.tk | login.ki.se | Karolinska Medical Institutet. |
| shib.york.ac.uk.iftl.tk | shib.york.ac.uk. | 约克大学 |
| sso.id.kent.ac.uk.iftl.tk | sso.id.kent.ac.uk. | 肯特大学 |
| idp3.it.gu.se.itlf.cf. | idp3.it.gu.se | GöteborgUniversitet |
| login.proxy1.lib.uwo.ca.sftt.cf. | login.proxy1.lib.uwo.ca | 西部大学加拿大 |
| login.libproxy.kcl.ac.uk.itlt.tk. | kcl.ac.uk | 伦敦国王大学 |
| idcheck2.qmul.ac.uk.sftt.cf. | qmul.ac.uk. | 伦敦王后大学 |
| lms.latrobe.aroe.me. | lms.latrobe.edu.au. | 墨尔本维多利亚澳大利亚 |
| ntulearn.ntu.ninu.me | ntulearn.ntu.edu.sg | 南洋科技大学 |
| adfs.lincoln.ac.uk.itlib.me | adfs.lincoln.ac.uk | 林肯大学 |
| cas.thm.de.itlib.me. | CAS.THM.de. | Mittelhessen应用科学大学 |
| libproxy.library.unt.edu.itlib.me. | 图书馆 | 北德克萨斯大学 |
| shibboleth.mcgill.ca.iftl.tk | shibboleth.mcgill.ca | 麦吉尔大学 |
| vle.cam.ac.uk.canm.me. | vle.cam.ac.uk. | 剑桥大学 |
注册这些子域以执行网络钓鱼攻击对大学对此APT群体来说是一种已知的行为,因此我们可以期望他们被同一行动者注册。
在伊朗举办的网络钓鱼网站
威胁行动者使用Cloudflare作为其大多数钓鱼主机名,以隐藏真正的主机来源。然而,在一些外部帮助下,我们能够确定一些位于伊朗主机上的基础设施。
攻击者使用自己国家的基础设施,可能会把矛头指向他们,这似乎很奇怪。然而,由于美国或欧洲执法部门与伊朗当地警察之间缺乏合作,在这里它只是成为另一个防弹托管选项。
显然,我们只揭开了这种网络钓鱼操作的一小部分。虽然在大多数情况下,网站被迅速下降,攻击者具有前进的一步,并立即进行许多可能的目标。
我们将继续监控这一活动,并通过屏蔽钓鱼网站来保护我们的客户的安全。
妥协指标(IOCs)
阿德莱德图书馆[][]crev(。)我
单点登录阿德莱德[][]edu(。)盟(。)itlib(。)我
黑板[。] gcal [。] crev [。]我
黑板[。] stonybrook [。] ernn [。]我
黑板[。] stonybrook [。] nrni [。]我
namidp[][]服务uu本地语言[][]itlib(。)我
uu黑板(。)[]rr(。)我
Librarysso [。] VU [。] CVRR [。]我
OLE [。] BRIR [。] CRIR [。]我
IDPZ [。] Utorauth [。] utoronto [。] itlf [。] cf
乌鸦cam[][]英国ac [] [] iftl。tk
登录[]ki se(。)[]iftl。tk
shib [。]约克[。] ac [。]英国[。] iftl [。] tk
sso [。] id [。] kent [。] ac [。]英国[。] iftl [。] tk
顾idp3(。)它(。)[]se(。)itlf。cf
登录(。)proxy1自由[][]uwo ca [] [] sftt。cf
登录[。] libproxy [。] kcl [。] ac [。]英国[。] itlt [。] tk
idcheck2 [] qmul[]英国ac [] [] sftt。cf
lms(。)拉筹伯[]aroe(。)我
ntulearn [。] ntu [。]宁静我
adfs [。]林肯[。] ac [。]英国[。] itlib [。]我
CAS [。] DE [。] ITLIB [。]我
libproxy [。]库[。] unt [。] edu [。] itlib [。]我
Shibboleth [。]麦吉尔[。] CA [。] IFTL [。] TK
VLE [。] CAM [。] ac [。]英国[。]坎数[。]我
158 [。] 58 [。] 184 [。] 213
46 [] 209 [] [] 154
103 [。] 127 [。] 31 [。] 155
评论