记者成为 APT 的首选攻击目标

有针对性的网络钓鱼攻击可追溯到多个威胁参与者，每个威胁参与者各自专注于窃取凭据和敏感数据以及跟踪记者的地理位置。

在 Proofpoint 周四的一份报告中，研究人员概述了高级持续威胁 (APT) 团体的个人努力，他们认为这些团体与中国、朝鲜、伊朗和土耳其结盟。 研究人员说，攻击始于 2021 年初，并且仍在进行中。

根据 到报告，APT 彼此独立行动，但具有相同的总体目标，即针对记者。 策略也类似，威胁行为者将电子邮件和社交媒体帐户作为网络间谍活动的网络钓鱼入侵者。

威胁参与者经常冒充记者，他们专注于网络钓鱼活动，其目标是获取凭证、窃取有助于特定政权的数据以及对政治记者进行数字监控。

APT Tradecraft：网络钓鱼  

研究人员表示，这些攻击通常涉及某种类型的社会工程，以降低对目标的警惕，以诱使他们将各种恶意有效载荷下载并执行到他们的个人数字设备上。 研究人员说，诱饵包括通过各种社交媒体平台发送的与其政治关注领域相关的主题的电子邮件和消息。

[免费点播活动：加入 Keeper Security 的 Zane Bond 参加 Threatpost 圆桌会议，了解如何从任何地方安全地访问您的机器并从您的家庭办公室共享敏感文档。 在这里观看.]

在各种情况下，攻击者会潜伏，发布恶意软件感染，以便在接收者的网络上获得持久性，并进行横向网络侦察并在目标网络内传播额外的恶意软件感染。

次要策略包括跟踪或监视记者。 Proofpoint 说，攻击者使用植入记者设备上的网络信标进行监视。

记者以前曾被针对，但不是这样

他们指出，虽然最新报告追踪了最近针对记者的一些活动，但鉴于记者在政治和社会经济问题上可以获得的信息类型，针对这群人肯定并不新鲜。

研究人员写道：“APT 参与者，无论其隶属于哪个州，都已经并且很可能总是有针对记者和媒体组织的授权，并将使用相关的角色来推进他们的目标和收集优先事项。”

此外，他们表示，APT 对媒体的关注不太可能减弱，这应该会激励记者尽其所能保护他们的通信和敏感数据。

中国支持的APT在美国罢工

在 2021 年 XNUMX 月至 XNUMX 年 XNUMX 月期间，Proofpoint 研究人员确定了五项活动

中文APT TA412，又称 锆，针对美国记者，尤其是那些在引起国际关注的事件中报道美国政治和国家安全的记者，研究人员说。

他们说，这些活动的策划方式取决于当前的美国政治气候，攻击者会根据哪些记者报道中国政府感兴趣的话题来改变目标。

他们说，在 6 月 XNUMX 日美国国会大厦袭击事件前几天，发生了一次侦察性网络钓鱼活动，攻击者在此期间专门针对白宫和华盛顿的记者。

攻击者使用了从与当时相关政治话题相关的最近美国新闻文章中提取的主题行，包括前总统唐纳德特朗普的行动、美国与中国有关的政治运动，以及最近美国的立场和参与俄罗斯对乌克兰的战争，研究人员说。

变化的有效载荷

在观察到的活动中，锆用作其有效负载网络信标，这种策略与恶意 网络间谍活动 研究人员表示，针对 APT 自 2016 年以来开展的记者活动。

网络信标，通常称为跟踪像素、跟踪信标或网络错误，在电子邮件正文中嵌入了一个超链接的不可见对象，启用后，它会尝试从参与者控制的服务器检索良性图像文件。

“Proofpoint 研究人员评估这些活动旨在验证目标电子邮件是否处于活动状态，并获取有关收件人网络环境的基本信息，”他们写道。

研究人员在 459 年 2022 月下旬观察到另一个由中国支持的 APT TAXNUMX，其针对东南亚媒体人员的电子邮件包含恶意 Royal Road RTF 附件，如果打开，将安装并执行 Chinoxy 恶意软件——一个用于在受害者的机器。

研究人员指出，目标实体负责报告俄罗斯与乌克兰的冲突，这与 TA459 收集与俄罗斯和白俄罗斯有关的情报事务的历史使命相一致。

来自朝鲜的虚假工作机会

研究人员还观察到与朝鲜对齐的 TA404——更广为人知的是 拉撒路——据他们报道，2022 年初，针对一家美国媒体组织发起了网络钓鱼攻击，这些攻击似乎为知名公司提供了工作机会给记者。 这次袭击让人想起 类似的 反对该小组在 2021 年安装的工程师。

“它始于使用为每个收件人定制的 URL 的侦察网络钓鱼，”研究人员在谈到最近的网络钓鱼活动时写道。 “这些 URL 模拟了一个带有着陆页的招聘信息，其设计看起来像一个品牌招聘网站。”

然而，研究人员表示，这些网站是欺诈性的，并且这些 URL 被武装起来传递有关计算机或某人正在使用的设备的识别信息，以允许主机跟踪预期目标。

土耳其支持的 APT 瞄准 Twitter 凭证

据称与土耳其政府有联系的 APT 也以记者为目标，其中一项活动包括 Proofpoint 观察到的一名“多产威胁演员”TA482。 据研究人员称，自 2022 年初以来，APT 一直在通过 Twitter 账户积极瞄准记者，以窃取主要来自美国记者和媒体组织的凭据。

研究人员指出，该组织背后的动机似乎是宣传支持土耳其执政党正义与发展党总统雷杰普·塔伊普·埃尔多安（Recep Tayyip Erdogan），尽管这无法确定。

这些活动使用通常与 Twitter 安全相关的网络钓鱼电子邮件（提醒用户注意可疑登录）来引起收件人的注意，如果他们点击链接，则将他们带到冒充 Twitter 的凭据收集页面。

伊朗 APT 收获证书

Proofpoint 发现，与伊朗有关的 APT 对记者和报纸的攻击特别活跃，通常在攻击中冒充记者自己对目标进行监视并获取他们的凭据。

这些攻击中最活跃的肇事者之一是 TA453，被称为 迷人的小猫，以 臭名昭著的团体 Proofpoint 说，这与伊朗伊斯兰革命卫队的情报收集工作保持一致。

该组织因伪装成来自世界各地的记者以针对记者、学者和 研究人员 同样通过参与讨论

外交政策或与中东相关的其他主题，之后他们将通过定制但良性的 PDF 邀请他们参加虚拟会议。

然而，研究人员表示，通常从文件托管服务交付的 PDF 几乎总是包含指向 URL 缩短器和 IP 跟踪器的链接，该链接将目标重定向到参与者控制的凭据收集域。

TA456，也称为 Tortoiseshell，是另一个与伊朗结盟的威胁行为者，它经常伪装成媒体组织，通过包含可以跟踪目标的网络信标的时事通讯主题电子邮件来瞄准记者。

另一位伊朗国家赞助的演员 TA457 隐藏在一个名为“iNews Reporter”的假媒体组织的角色后面，向公关人员发送恶意软件

研究人员说，对于位于美国、以色列和沙特阿拉伯的公司。 他们说，在 2021 年 2022 月至 XNUMX 年 XNUMX 月期间，Proofpoint 观察到大约每两到三周发生一次的多产威胁参与者的活动。

在 2022 年 457 月发生的一次活动中，TAXNUMX 发送了一封具有讽刺意味的主题为“伊朗网络战争”的电子邮件，最终在受害者的机器上放置了一个远程访问木马。 研究人员报告说，该活动针对少数涉及能源、媒体、政府和制造业的 Proofpoint 客户的个人和团体电子邮件地址。

[免费点播活动：加入 Keeper Security 的 Zane Bond 参加 Threatpost 圆桌会议，了解如何从任何地方安全地访问您的机器并从您的家庭办公室共享敏感文档。 在这里观看.]