黑客多年扮演健美教练，针对航空航天员工进行社工渗透

一个伊朗网络间谍组织在 Facebook 上伪装成健美操教练，试图用恶意软件感染航空航天防御承包商员工的机器，这是长达数年的社会工程和有针对性的恶意软件活动的一部分。

企业安全公司 Proofpoint 将这次秘密行动归因于它跟踪为 TA456 的与国家一致的威胁行为者，以及以 Tortoiseshell 和 Imperial Kitten 为绰号的更广泛的网络安全社区。

Proofpoint在与 The Hacker News 分享的一份报告中说：“使用社交媒体角色 ‘Marcella Flores’，TA456 与一家航空航天防御承包商的一家小型子公司的员工建立了跨企业和个人通信平台的关系。” “在 2021 年 6 月上旬，威胁行为者试图通过持续的电子邮件通信链发送目标恶意软件来利用这种关系。”

本月早些时候，Facebook透露已采取措施拆除 Tortoiseshell 黑客针对美国、英国和欧洲国防和航空航天部门的约 200 名军事人员和公司发起的“复杂”网络间谍活动，该活动使用广泛的虚假网络。其平台上的在线角色。据信，该威胁行动者通过与伊朗 IT 公司 Mahak Rayan Afraz (MRA) 的联系与伊斯兰革命卫队 ( IRGC )松散结盟。

现在，根据 Proofpoint 的说法，TA456 威胁行为者创建了一个这样精心制作的虚假角色，该角色参与与早在 2019 年的未透露姓名的航空航天员工的来回交流，然后最终交付了一种名为 LEMPO 的恶意软件，该恶意软件旨在用于建立持久性，执行侦察，并泄露敏感信息。感染链是通过一封包含 OneDrive URL 的电子邮件触发的，该 URL 声称是饮食调查——一个嵌入宏的 Excel 文档——只是为了通过连接到攻击者控制的域来秘密检索侦察工具。

Facebook 已从其平台上暂停了 Flores 帐户，以协调删除与伊朗黑客活动有关的用户。

Proofpoint 研究人员表示：“TA456 通过多年来与目标员工建立关系，以部署 LEMPO 对国防工业基地内高度安全的目标环境进行侦察，证明了一项重大的运营投资。” “这场运动体现了某些国家一致威胁的持久性以及他们愿意为支持间谍行动而进行的人类参与。”