当地时间8月28日,Mandiant和Google Cloud发布研究报告,称一个伊朗黑客组织通过社交媒体平台散布虚假的招聘网站和工作机会,以此作为诱饵内容,目的是识别可能与以色列等外国对手合作的伊朗人。这些诱饵发布在包括X和Virasty(伊朗的Twitter替代品)在内的平台上,冒充以色列的猎头或人力资源人员,引导用户至波斯语编写的虚假招聘网站,收集个人信息。该行动从2017年开始,最近一次发现在2024年3月,其主要动机是帮助伊朗政府进行反间谍活动。
这些虚假招聘网站专门针对具有IT和网络安全背景的人才,以及伊朗情报和安全部门的员工和官员,承诺提供优厚薪酬和隐私保护。Mandiant分析部门负责人Ben Read表示,尽管具体受影响人数未知,但该行动持续了七年之久,表明可能已取得一定成功。研究还指出,此次行动与APT42组织的活动有微弱重叠,但使用的是独立的IT基础设施,表明是独立实体。该行动的重点在于收集国内和海外波斯语异见人士的反情报信息,与美国大选无关。伊朗此举是为了削弱以色列在伊朗边境和邻近地区的情报活动,并试图识别与以色列接触的个人。
Mandiant观察到,一个伊朗黑客组织使用伪装的社交媒体账号向毫无戒心的受害者传播和分享虚假的招聘网站、工作机会和其他诱饵内容。
在约翰·勒卡雷的小说中,间谍猎手们在冷战时期的欧洲城市街道上四处游荡,精确定位秘密情报站,并拼凑出可以找到双重间谍的谜团信息。在现代世界,各国越来越多地利用社交媒体和互联网进行反间谍活动并识别潜在间谍。
根据Mandiant和Google Cloud的最新研究,这个伊朗黑客组织被发现使用伪装的社交媒体角色向毫无戒心的受害者传播和分享虚假的求职网站、就业机会和其他诱饵内容。
攻击生命周期如下图所示。
这些内容发布在X和Virasty(Twitter/X 的伊朗替代品)等平台上,有人冒充以色列猎头或人力资源员工,将用户引导到用伊朗官方语言波斯语编写的招聘网站。点击者被要求提供个人信息,例如姓名、出生日期和家庭住址,以及有关其专业或学术背景的信息。这些信息被迅速发送给攻击者。
该行动于2017年首次发现,最后一次出现在 2024年3月,主要目的似乎是为了帮助伊朗政府识别可能与包括以色列在内的外国对手合作的伊朗人。
“此次活动收集的数据可能有助于伊朗情报机构查明有意与伊朗敌对国家合作的个人,”作者Ofir Rozmann、Asli Koksal和Sarah Bock写道。“收集的数据可能用于揭露针对伊朗的人力情报行动,并迫害任何涉嫌参与这些行动的伊朗人。”
社交媒体人物@A_Soleimani_Far在 Virasity 上发布帖子,宣传一种伪装成求职网站的社交工程诱饵。[来源:Mandiant]
社交媒体人物@MiladAzadihr 在 Twitter/X 上链接到一个虚假的以色列主题招聘网站。[来源:Mandiant]
这些诱饵招聘网站专门宣传需要具有 IT 和网络安全背景或经验的人才,以及“伊朗情报和安全部门的员工和官员”,同时提供“优厚”薪酬,并承诺保护个人隐私。
Mandiant网络间谍分析部门负责人Ben Read向 CyberScoop透露,尽管这家威胁情报公司没有透露受影响人数的具体数字,但此次行动持续了七年,这表明“他们可能取得了一些成功”。
2024 年 2 月使用的诱饵招聘网站 beparas[.]com 的桌面版和移动版。[来源:Mandiant]
Mandiant公司高度确信,此次行动是在伊朗政府的要求下进行的,研究人员指出,此次行动与 APT42组织的活动“存在微弱重叠”,美国官员指控该组织针对特朗普和哈里斯的总统竞选活动进行攻击和鱼叉式网络攻击。
但Read表示,此次行动似乎与其他APT42行动截然不同。虽然它可能与APT组织共享培训或领导,但它使用单独的 IT基础设施,这让Mandiant相信它是一个独立的实体。此次活动也与美国大选无关,其重点是收集国内参与者和居住在国外的波斯语异见人士的反情报。
