安全解決方案提供商 Check Point 拋出的一份新報告提供了對伊朗威脅小組 Rocket Kitten（火箭貓咪）的進(jìn)一步透析。

Rocket Kitten 至少2014年年初就已出現(xiàn)，其活動被多個安全公司所分析，包括“藏紅玫瑰行動”（Operation Saffron Rose ——火眼）、“新聞播報員”（Newscaster ——埃賽德咨詢）、“塔瑪水庫”（Thamar Reservoir ——晴空）和“羊毛金魚”（Woolen GoldFish ——趨勢科技）。

雖然他們的活動被安全公司緊密監(jiān)視，這一 APT 小組看起來似乎絲毫未受影響，只是簡單地對其工具和網(wǎng)絡(luò)釣魚域名作了修改便繼續(xù)從事其行動。

Check Point 開始對 Rocket Kitten 進(jìn)行分析是在該小組盯上它的客戶之一之后。在調(diào)查威脅執(zhí)行人使用的網(wǎng)絡(luò)釣魚服務(wù)器時，專家們注意到：該服務(wù)器依賴的建站集成軟件包配置不當(dāng)，任何人都可以不用密碼就獲取到 root 權(quán)限。

對攻擊者數(shù)據(jù)庫的分析顯示：共有超過1800名受害者為該網(wǎng)絡(luò)釣魚騙局所騙交出了他們的信息。每一個受害者都與某一特定的 Rocket Kitten 操作員有關(guān)。

舉例來說，一名操作員通過針對沙特阿拉伯的人權(quán)斗士、公司首席執(zhí)行官們和政府官員的行動收獲了522名用戶的詳細(xì)信息。另一名操作員則針對北約國家、阿拉伯聯(lián)合酋長國、阿富汗、泰國和土耳其的國防產(chǎn)業(yè)，獲取到233名受害者的詳細(xì)資料。伊朗鄰國的大使館也在該操作員的目標(biāo)范圍之內(nèi)。

最忙碌的操作員要負(fù)責(zé)將近700名受害者，受害者列表中包含了沙特阿拉伯的學(xué)者、有影響力的人、教育組織和媒體機(jī)構(gòu)。Check Point 拿到的數(shù)據(jù)庫顯示：該小組還對海外伊朗人、委內(nèi)瑞拉實體、以色列核科學(xué)家、前軍官、國家安全和外交政策研究員感興趣。

該網(wǎng)絡(luò)釣魚網(wǎng)站的日志顯示：訪問者最大的組成成分來自沙特阿拉伯（18%）、美國（17%）、伊朗（16%）、荷蘭（8%）和以色列（5%）。專家確信，訪問了該釣魚網(wǎng)站頁面的人中有26%輸入了他們的憑證——目標(biāo)精準(zhǔn)長期釣魚下一個相對較高的成功率。

除了網(wǎng)絡(luò)釣魚服務(wù)器，研究人員還通過使用攻擊者硬編碼到惡意軟件中的管理員憑證成功黑進(jìn)了 Rocket Kitten 的命令與控制（C&C）服務(wù)器。這讓 Check Point 找到了揭示這一網(wǎng)絡(luò)間諜組織的主要開發(fā)者“Wool3n.H4T”身份的蛛絲馬跡。

“這一案例，與其他之前的案例一樣，可以被認(rèn)為是某官方機(jī)構(gòu)招募了本地黑客并導(dǎo)引他們從愚弄網(wǎng)站轉(zhuǎn)向為他們的國家進(jìn)行針對性間諜活動。這種沒經(jīng)驗的非專業(yè)人員常常會由于缺乏訓(xùn)練而反映出一種操作安全意識的匱乏，留下一大堆指向攻擊源頭與他們真實身份的線索。” Check Point 在其報告中稱。