伊朗组织针对美国智库展开网络钓鱼和凭据窃取攻击

  Tag：伊朗，美国智库，网络钓鱼，凭据盗窃

事件概述：

近期，研究人员监测发现伊朗组织 Iran-Nexus TAG-56 针对美国华盛顿研究所智囊团展开的网络钓鱼和凭据窃取攻击。该活动利用 URL 缩短器将受害者引导至窃取凭据的恶意页面。这种交互攻击手法常见于 APT42 和 Phosphorus 等伊朗背景的高级持续威胁 (APT) 组织。

技术手法：

威胁组织将凭据盗窃组件伪装成由阿拉伯联合酋长国(UAE)政府主办的2022 Sir Bani Yas 论坛的 Microsoft 注册表，将假 URL 缩短器与合法缩短服务结合使用，诱使目标点击链接，将受害者重定向到伪造的短链接页面，并发送一个正常的诱饵文件“Iran nuke.docx”，借此与目标交互以进行下一步攻击。

缓解措施：

• 开展社会工程学和反网络钓鱼意识练习，以帮助检测和预防攻击；
• 使用强密码并尽可能启用多因素身份验证 (MFA)，以限制凭据盗窃造成的损害；
• 监控域滥用等情况。

CISA 发布多条关于工业控制系统漏洞的公告

  Tag：CISA，工业控制系统，漏洞

（1）CVE-2022-2640：Horner Automation 的 RCC 972 固件版本为 15.40 的配置文件使用弱 XOR 加密进行加密，容易受到逆向工程的影响。这可能允许攻击者获取凭据以运行文件传输协议 (FTP) 和超文本传输协议 (HTTP) 等服务；

（2）CVE-2022-2641：这可能允许攻击者对设备执行未经授权的更改、远程执行任意代码或导致拒绝服务情况。 

（3）CVE-2022-2642：由于Horner Automation 的 RCC 972 固件版本 15.40 包含全局变量，这可能允许攻击者从设备中读取敏感值和变量键。 

BodyGuard 泵的备用硬件接口缺少保护机制漏洞 CVE-2022-43557：成功利用此漏洞可能允许攻击者更改配置设置或禁用泵。

截至目前，这些工业控制漏洞均发布了补丁，建议相关用户及时进行更新。