伊朗政府支持的威胁组织TA453使用新型钓鱼攻击手法

关键要点

TA453使用“多重身份伪装”技术，以提升钓鱼邮件的真实性。新钓鱼技巧通过多个虚假身份创建逼真的对话。近期的攻击实例中，伪装成知名机构的研究主管发送钓鱼邮件。恶意文档包含的宏程序能够收集用户信息并通过Telegram API传输。

近期，伊朗政府支持的威胁组织 TA453 被发现正在使用一种新颖的“多重身份伪装”MPI技术，从而使其钓鱼电子邮件看起来更复杂且更真实。根据 BleepingComputer 的报道，TA453在新的钓鱼技术上花费了显著的精力，利用多个虚假身份创建真实的对话。

例如，有一项攻击案例涉及一封钓鱼邮件，假装是由外事政策研究所的研究主任发出，并抄送了皮尤研究中心的全球态度研究主任。第二天，回复邮件的伪装皮尤主任回应了研究主任的查询。攻击者还向基因组研究科学家发送了钓鱼邮件，抄送的身份回复了包含恶意宏的OneDrive链接的DOCX文档。

以下是有关下载模板“ Korg”的详细信息，该模板包含三个宏：Module1bas，Module2bas和ThisDocumentcls。这些宏用于收集信息，如用户名、正在运行的进程列表和来自myipio的用户公共IP地址，然后通过Telegram API将这些信息进行外泄。

宏名称描述Module1bas收集用户信息Module2bas监控运行的进程ThisDocumentcls外泄信息至Telegram

研究者表示，面对如此复杂的钓鱼攻击手法，企业和个人用户都应加强安全意识，谨慎处理不明来源的邮件及文件。

伊朗黑客组织利用的新型钓鱼技术