伊朗黑客击中60多所大学以获取图书馆

 
与伊朗政府有关的威胁演员Cobalt Dickens在7月和8月进行了一次网络钓鱼行动，针对四大洲各国的60多所大学。
安全研究人员表示，该组织的黑客活动影响了30多个国家的至少380所大学，其中许多目标遭到多次袭击。
最新的网络钓鱼活动针对的是澳大利亚，香港，美国，加拿大，英国和瑞士的组织。它使用了至少20个使用Freenom服务注册的新域名，该服务提供免费的顶级域名
Cobalt Dickens向有权访问目标大学图书馆的人发送的欺诈性电子邮件显示一条消息，提示您通过欺骗性链接重新激活该帐户。
使用欺骗性链接是对操作方式的更改，因为来自该组的先前广告系列依赖于缩短的URL来指向虚假登录页面。
来自Secureworks的反威胁单位(CTU)的研究人员表示，假链接导致“访问与欺骗性图书馆资源相同或相似的网页”。
提供凭据后，它们将存储在名为“pass.txt”的文件中，浏览器将加载正版大学网站。
为了取消对欺诈活动的怀疑，威胁行为者通常会为其网站使用有效的TLS证书。此活动中观察到的大多数证书都是免费的，由Let’s Encrypt非营利性证书颁发机构颁发。
该组织也被称为沉默的图书管理员，该组织专注于妥协教育机构，尽管它的受害者也是私营企业。它的目的似乎是窃取图书馆账户凭证，销售学术资源以及向伊朗客户提供这些资源。
据信，美国司法部于2018年3月起对9名被认为在该组织活动中发挥作用的个人提起网络入侵活动的起诉。据信，他们是一家名为Mabna Institute的公司的合伙人或黑客，他们至少从2013年开始进行黑客攻击。
据称，许多入侵都是针对伊斯兰革命卫队(IRGC)的，伊斯兰革命卫队是负责收集情报的政府实体。
他们的目标是“144所美国大学的计算机系统，21个国家的176所大学，47家国内外私营公司”。
目标清单还包括美国劳工部，联邦能源监管委员会，夏威夷州，印第安纳州，联合国和联合国儿童基金会。
据称，黑客窃取了全球受害者超过31TB的文件和数据。然而，尽管美国的起诉书和公众曝光，Cobalt Dickens的行动似乎并未受到阻碍。
为了阻止威胁演员的操作，Secureworks发布了与Cobalt Dickens相关的所有已知域名。