Ηθοποιός απειλών με ευθυγράμμιση με το ιρανικό κράτος στοχεύει νέα θύματα

Ηθοποιός απειλών με ευθυγράμμιση με το ιρανικό κράτος στοχεύει νέα θύματα

Dezember 18, 2022 0 Von admin
Οπτικοποίηση επίθεσης email ενός σκουριασμένου γάντζου που πιάνει έναν φάκελο.
Εικόνα: RareStock/Adobe Stock

Το TA435 χρησιμοποιεί τώρα πιο επιθετικές τακτικές, συμπεριλαμβανομένης της χρήσης πραγματικών λογαριασμών email, κακόβουλου λογισμικού και συγκρουσιακών δολωμάτων για να αποκτήσει πρόσβαση σε βασικούς λογαριασμούς. Ο παράγοντας της απειλής στοχεύει λογαριασμούς υψηλού προφίλ και υψηλής ασφάλειας για σκοπούς κυβερνοκατασκοπείας.

Πηδάω σε:

Ποιος είναι ο TA453;

Το TA453 είναι ένας ιρανικός φορέας απειλών κυβερνοκατασκοπείας που υποστηρίζεται από το κράτος. Το TA453 ήταν γνωστό ότι στοχεύει σχεδόν πάντα σε ακαδημαϊκούς, ερευνητές, διπλωμάτες, αντιφρονούντες, δημοσιογράφους και εργαζόμενους στα ανθρώπινα δικαιώματα, όλοι με εμπειρία στη Μέση Ανατολή, σύμφωνα με Απόδειξη.

Το TA453 επικαλύπτεται με τις ομάδες κυβερνοκατασκοπείας Charming Kitten, Phosphorus και APT42.

Η αγαπημένη τους μέθοδος για να προσεγγίσουν και να επιτεθούν στους στόχους τους συνίσταται στη χρήση web beacons σε μηνύματα ηλεκτρονικού ταχυδρομείου προτού επιχειρήσουν τελικά να συγκεντρώσουν τα διαπιστευτήρια του στόχου. Αξιοποιούν επίσης την πλαστοπροσωπία πολλαπλών προσώπων, η οποία είναι ένα τέχνασμα κοινωνικής μηχανικής χρησιμοποιώντας δύο πλαστούς λογαριασμούς που ελέγχονται από τους εισβολείς για να μιλήσουν σε ένα νήμα email με το θύμα. Τα πολλαπλά πρόσωπα προσπαθούν να πείσουν τον στόχο για τη νομιμότητα της επιχείρησης.

Το Proofpoint παρακολουθεί επί του παρόντος έξι υποομάδες TA453, οι οποίες ταξινομούνται κατά θυματολογία, υποδομή και τακτικές, τεχνικές και διαδικασίες.

Οι ερευνητές εκτιμούν ότι το TA453 λειτουργεί γενικά για το Σώμα των Φρουρών της Ισλαμικής Επανάστασης, την Επιχείρηση Πληροφοριών, όπως βασίζεται σε έρευνα από PwC και το Υπουργείο Δικαιοσύνης το 2018 κατηγορητήριο εκτός από ένα ανάλυση της στόχευσης TA453 σε σύγκριση με τις αναφερόμενες δραστηριότητες του IRGC-IO.

«Η πιο επιθετική δραστηριότητα θα μπορούσε να αντιπροσωπεύει τη συνεργασία με έναν άλλο κλάδο του ιρανικού κράτους, συμπεριλαμβανομένης της Δύναμης Quds του IRGC», δήλωσε η Proofpoint.

Μια αλλαγή στις μεθόδους του TA453

Λογαριασμοί email που χρησιμοποιούνται για την επίτευξη των στόχων

Η χρήση λογαριασμών email που δημιουργήθηκαν από τον εισβολέα μερικές φορές απορρίπτεται από τους παράγοντες απειλών υπέρ της χρήσης πραγματικών λογαριασμών που έχουν παραβιαστεί. Αυτό έχει ως αποτέλεσμα να κάνει το περιεχόμενό τους να φαίνεται πιο νόμιμο, καθώς προέρχεται από μια γνωστή διεύθυνση email και όχι από μια άγνωστη.

ΒΛΕΠΩ: Παραβίαση κωδικού πρόσβασης: Γιατί η ποπ κουλτούρα και οι κωδικοί πρόσβασης δεν συνδυάζονται (δωρεάν PDF) (TechRepublic)

Αυτή η μέθοδος χρησιμοποιείται από μια υποομάδα του παράγοντα απειλής TA453 και συνδυάζεται με τη χρήση ασυνήθιστων συντομεύσεων URL όπως το bnt2[.]ζωντανά ή nco2[.]ζω. Το Proofpoint δείχνει ότι το 2021, το TA453 επικοινωνούσε με έναν γραμματέα Τύπου των ΗΠΑ χρησιμοποιώντας τη διεύθυνση ηλεκτρονικού ταχυδρομείου ενός τοπικού ρεπόρτερ.

Χρήση κακόβουλου λογισμικού

Το κακόβουλο λογισμικό GhostEcho, μια ελαφριά κερκόπορτα PowerShell υπό ανάπτυξη που είναι σε θέση να εκτελεί πρόσθετες μονάδες και να επικοινωνεί με έναν διακομιστή C2 που ελέγχεται από τους εισβολείς, χρησιμοποιήθηκε για να στοχεύσει διάφορες διπλωματικές αποστολές σε όλη την Τεχεράνη το 2021 για να στοχεύσει υπερασπιστές των δικαιωμάτων των γυναικών στη χώρα. Το ωφέλιμο φορτίο δεν ήταν διαθέσιμο στους ερευνητές όταν ανακαλύφθηκε.

Αντιπαραθετικά θέλγητρα

Η Samantha Wolf είναι μια περσόνα που δημιουργήθηκε από τον TA453 που χρησιμοποιείται σε συγκρουσιακά θέλγητρα κοινωνικής μηχανικής. Ο στόχος είναι να αυξηθεί ο φόβος και η αβεβαιότητα του στόχου, ώστε να ανταποκρίνονται στα email που στέλνουν οι επιτιθέμενοι.

Η Samantha Wolf χρησιμοποίησε γενικές καταγγελίες και τροχαία ατυχήματα μεταξύ άλλων θεμάτων, στοχεύοντας πολιτικούς και κυβερνητικές οντότητες των ΗΠΑ και της Ευρώπης (Εικόνα Α).

Εικόνα Α

Δείγμα περιεχομένου email όπως στάλθηκε από την περσόνα Samantha Wolf.
Εικόνα: Απόδειξη. Δείγμα περιεχομένου email όπως στάλθηκε από την περσόνα Samantha Wolf.

Τα έγγραφα που στάλθηκαν από τη Samantha Wolf περιείχαν απομακρυσμένη έγχυση προτύπου για τη λήψη κακόβουλων αρχείων, με αποτέλεσμα μια μόλυνση από το GhostEcho. Η μέθοδος που χρησιμοποιήθηκε από τους εισβολείς συνίστατο στην αντικατάσταση του προηγούμενου προεπιλεγμένου προτύπου Microsoft Word του χρήστη.

Ακόμα πιο επιθετική δραστηριότητα

Τον Μάιο του 2022, η Proofpoint ανακάλυψε μια επίθεση που στόχευε υψηλόβαθμο στρατιωτικό αξιωματούχο με πολλούς παραβιασμένους λογαριασμούς email. Ο στόχος ήταν πρώην μέλος του ισραηλινού στρατού. Όπως αναφέρθηκε προηγουμένως, η χρήση πολλαπλών παραβιασμένων λογαριασμών email για μια τέτοια επίθεση είναι ασυνήθιστη για το TA453.

Το επιθετικό μήνυμα ήταν γραμμένο στα εβραϊκά (Εικόνα Β) και χρησιμοποιούσε το όνομα του ατόμου στο όνομα του αρχείου.

Εικόνα Β

Επιθετικό μήνυμα στα εβραϊκά σε έναν στόχο.
Εικόνα: Απόδειξη. Επιθετικό μήνυμα στα εβραϊκά σε έναν στόχο.

Το κείμενο μεταφράζεται χονδρικά: «Είμαι βέβαιος ότι θυμάστε όταν σας είπα ότι κάθε email που λαμβάνετε από τους φίλους σας μπορεί να είμαι εγώ και όχι το άτομο που ισχυρίζεται ότι είμαι. Σε ακολουθούμε σαν τη σκιά σου — στο Τελ Αβίβ, μέσα [redacted university], στο Ντουμπάι, στο Μπαχρέιν. Να προσέχεις τον εαυτό σου.“

Σύμφωνα με το Proofpoint, αυτή η τακτική εκφοβισμού υποδηλώνει επίσης μια συνεργασία μεταξύ του TA453 και εχθρικών επιχειρήσεων ευθυγραμμισμένες με το ιρανικό κράτος.

Μια επικάλυψη στην υποδομή που συνδέει αυτή την υπόθεση και μια άλλη, προσθέτει επίσης νομιμότητα στο συμπέρασμα της έρευνας. Τον Μάιο του 2022, ένας Ισραηλινός ερευνητής έλαβε ένα email που προερχόταν από μια πλαστή διεύθυνση ηλεκτρονικού ταχυδρομείου ενός φημισμένου ακαδημαϊκού για να προσκαλέσει τον στόχο σε μια διάσκεψη προκειμένου να τον απαγάγει.

Οι ακραίες λειτουργίες του TA453 έχουν δείξει μια σταθερή κατάσταση εξέλιξης στο TTP του, με πιθανή υποστήριξη για εχθρικές ή ακόμα και κινητικές λειτουργίες.

Ο παλαιότερα γνωστός τρόπος λειτουργίας του TA435

Το TA453 γενικά προσεγγίζει τους στόχους του με λογαριασμούς email που δημιουργούν και αρχίζει να έρχεται σε επαφή με τους στόχους του μέσω καλοήθους συνομιλίας, αν και ορισμένες από τις υποομάδες του μπορεί να χτυπήσουν απευθείας τον στόχο με έναν σύνδεσμο συλλογής διαπιστευτηρίων. Ανεξάρτητα από τη διάρκεια της ανταλλαγής, ο στόχος είναι πάντα να αποκτήσετε πρόσβαση στο email του στόχου μέσω ενός συνδέσμου phishing.

ΒΛΕΠΩ: Πολιτική ασφαλείας φορητών συσκευών (TechRepublic Premium)

Αυτή η τεχνική υποδηλώνει ότι το κύριο ενδιαφέρον του εισβολέα έγκειται στην ανάγνωση του περιεχομένου email του στόχου, αντί να προσπαθεί να μολύνει τον υπολογιστή του με κακόβουλο λογισμικό για να αποκτήσει πρόσβαση σε αρχεία και φακέλους. Αυτό είναι επίσης πιο κρυφό, καθώς γενικά δεν προκαλεί συναγερμούς από τις παραγωγές ασφαλείας — οι σελίδες phishing που φιλοξενούνται στην υποδομή δεν είναι ποτέ ευρέως διαδεδομένες και επομένως ελάχιστα αναφέρονται.

Πώς να προστατευτείτε από αυτήν την απειλή

Οι χρήστες πρέπει να είναι προσεκτικοί όταν ανοίγουν περιεχόμενο email, ακόμη και όταν προέρχεται από μια επαληθευμένη και αξιόπιστη διεύθυνση email, η οποία μπορεί να παραβιαστεί.

Το περιεχόμενο του μηνύματος ηλεκτρονικού ταχυδρομείου θα πρέπει να προκαλεί ανησυχία στον αναγνώστη: Προσέξτε για φόρμες που δεν είχαν χρησιμοποιήσει προηγουμένως ο συγγραφέας, ορθογραφικά λάθη, αλλαγές στη γλώσσα ή στη λεξική και άλλες ενδείξεις ότι το email είναι ψεύτικο. Σε περίπτωση αμφιβολίας, οι χρήστες θα πρέπει να επαληθεύουν τη νομιμότητα του μηνύματος ηλεκτρονικού ταχυδρομείου επικοινωνώντας με τον αποστολέα μέσω άλλου καναλιού.

Οι χρήστες θα πρέπει επίσης να ελέγχουν πάντα τις προσκλήσεις σε συνέδρια και να επικοινωνούν απευθείας με τους διοργανωτές μέσω της επίσημης ιστοσελίδας τους. Οι χρήστες δεν πρέπει ποτέ να κάνουν κλικ σε ύποπτους συνδέσμους. Αντίθετα, αναφέρετε τη σύνδεση στο τμήμα IT ή στις ομάδες CERT/SOC για διερεύνηση, καθώς μπορεί να πρόκειται για απόπειρα phishing.

Αποκάλυψη: Δουλεύω για την Trend Micro, αλλά οι απόψεις που εκφράζονται σε αυτό το άρθρο είναι δικές μου.