图片来源:
Mandiant
资安业者Mandiant指出,他们自2022年9月揭露隶属于伊斯兰革命护卫警察情报组织(IRGC-IO)的伊朗骇客组织APT42,第3种则是针对美国及以色列的国防和外交事务相关人士而来,骇客伪装成非政府组织、Mailer Daemon、短网址服务Bitly,疑似透过钓鱼邮件发动攻击。他们看到对方去年11月,针对以色列大学的核子物理学教授下手,企图窃取Microsoft 365帐密。
在透过上述3种管道取得帐密资料后,研究人员指出,他们在2022至2023年,看到这些骇客企图从受害的美国、英国法律服务机构、非政府组织的公有云基础设施,窃取伊朗政府感兴趣的敏感资料。
他们看到对方透过社交工程取得帐密资料后,就会将受害者导向冒牌的Duo身分验证服务来绕过双因素验证(MFA),得逞后就会利用收信软体Thunderbird存取受害者的电子邮件信箱,然后存取Citrix应用程式,并透过远端桌面连线(RDP)进行侦察。