英国NCSC警告：俄罗斯、伊朗相关黑客正瞄准我国关键行业

英国国家网络安全中心（NCSC）周四警告说，与俄罗斯和伊朗国家相关的黑客发起了鱼叉式钓鱼攻击，用于收集行动信息。

NCSC说："这些攻击不是针对一般公众，而是以特定部门为目标，包括学术界、国防、政府组织、非政府组织、智囊团，政治家、记者和活动家等。

NCSC将这些入侵行为归咎于SEABORGIUM（又名Callisto、COLDRIVER和TA446）和APT42（又名ITG18、TA453和Yellow Garuda）。目前还没有证据表明这两个组织在相互合作。

该活动是典型的鱼叉式网络钓鱼活动，黑客发送针对目标的信息，同时也花足够的时间研究他们的兴趣并确定他们的社会和职业圈子。

最初的接触被设计成看似无害，试图获得他们的信任，在进入利用阶段之前可能会持续数周。采取恶意链接的形式，可导致凭证被盗还包括数据外流。为了维持这种活动，据说黑客在社交媒体平台上创建了假的个人资料，冒充现场专家和记者，欺骗受害者打开链接。

被盗的凭证随后被用来登录目标的电子邮件账户并访问敏感信息，此外还设置了邮件转发规则以保持对受害者通信的持续可见性。

俄罗斯国家支持的SEABORGIUM组织有建立模仿合法国防公司和核研究实验室的虚假登录页面的历史，以完成其凭据收集攻击。

APT42作为伊朗伊斯兰革命卫队（IRGC）的间谍部门运作，据说与PHOSPHORUS有重叠之处，是一个被追踪为Charming Kitten的更大团体的一部分。

据了解，该黑客组织与SEABORGIUM一样，伪装成记者、研究机构和智囊团，使用不断变化的工具和战术与目标接触，以适应IRGC不断变化的优先事项。

企业安全公司Proofpoint在2022年12月披露了该组织 "使用被破坏的账户、恶意软件和对抗性诱饵来攻击具有各种背景的目标，从医学研究人员到房地产商到旅行社"，称其偏离了 "预期的网络钓鱼活动"。

此外，这些活动中值得注意的一个方面是，使用目标的个人电子邮件地址，这可能是规避企业网络安全控制的一种手段。NCSC运营总监Paul Chichester说："这些由位于俄罗斯和伊朗的威胁者发起的活动继续无情地追求他们的目标，试图窃取在线凭证并破坏潜在的敏感系统。