Grupo iraní TA453 apunta a investigadores y cuentas

13. Enero 2023
| No hay comentarios
Noticias cortas de seguridad cibernética B2B

Compartir publicación

El grupo delictivo cibernético TA453, que está asociado con Irán, utiliza cada vez más nuevos métodos de ataque y se dirige agresivamente a nuevos objetivos. Este es el resultado preliminar de las investigaciones en curso de la empresa de ciberseguridad Proofpoint.

Desde finales de 2020, los investigadores de Proofpoint han observado discrepancias en la actividad de phishing de TA453 (que se superpone con grupos conocidos públicamente como "Charming Kitten", "PHOSPHORUS" y "APT42"), y el grupo utiliza nuevos métodos y otros objetivos que en el pasado.

TA453 también conocido como APT42

Las campañas de correo electrónico anteriores de TA453 casi siempre se habían dirigido a académicos, investigadores, diplomáticos, disidentes, periodistas y activistas de derechos humanos, utilizando balizas web en el cuerpo del mensaje antes de intentar obtener las credenciales del objetivo. Dichas campañas pueden comenzar con semanas de conversaciones inofensivas sobre las cuentas creadas por los actores antes de lanzar el ataque real.

Las novedosas campañas de TA453 están dirigidas a investigadores médicos, un ingeniero aeroespacial, un agente inmobiliario y agentes de viajes, entre otros. Utilizan nuevas técnicas de phishing para TA453, incluidas cuentas comprometidas, malware y cebos de temas controvertidos. Es probable que los nuevos procedimientos reflejen los cambiantes requisitos de inteligencia de la Guardia Revolucionaria. La actividad novedosa también brinda a los expertos una mejor comprensión del mandato de la Guardia Revolucionaria y una idea del apoyo potencial de TA453 para operaciones encubiertas y "cinéticas".

Comportamiento esperado

Proofpoint rastrea alrededor de seis subconjuntos de TA453, principalmente diferenciados por audiencias, técnicas e infraestructura. Independientemente del subgrupo, TA453 suele estar dirigido a académicos, legisladores, diplomáticos, periodistas, defensores de los derechos humanos, disidentes e investigadores con experiencia en Oriente Medio.

Las cuentas de correo electrónico registradas por TA453 tienden a ser temáticamente coherentes con sus objetivos, y los ciberdelincuentes prefieren usar balizas web en sus campañas de correo electrónico. TA453 se basa en gran medida en conversaciones inocuas para contactar a los objetivos: Proofpoint observó más de 2022 campañas de este tipo en 60. TA453 casi siempre envía enlaces de recopilación de credenciales con la intención de obtener acceso a la bandeja de entrada del objetivo y espiar el contenido del correo electrónico. Algunos subgrupos chatean durante semanas antes de enviar los enlaces maliciosos, mientras que otros envían inmediatamente el enlace malicioso en el primer correo electrónico.

Nuevos métodos y grupos objetivo

Los expertos de Proofpoint han observado una serie de novedades en los procedimientos de TA453 que han recibido poca o ninguna atención pública:

Cuentas comprometidas

  • A veces, un subconjunto de TA453 usó cuentas comprometidas para dirigirse a individuos en lugar de usar cuentas controladas por actores.
  • Este grupo usó acortadores de URL como bnt2[.]live y nco2[.]live, que redirigían a páginas típicas de TA453 para recopilar credenciales.
  • Por ejemplo, en 2021, unos cinco días después de que un funcionario estadounidense hablara públicamente sobre las negociaciones sobre el acuerdo nuclear con Irán, el secretario de prensa del funcionario fue atacado a través de una cuenta de correo electrónico comprometida perteneciente a un reportero local.

Malware

  • En el otoño de 2021, GhostEcho (CharmPower), una puerta trasera de PowerShell, se envió a varias misiones diplomáticas en Teherán.
  • A lo largo del otoño de 2021, GhostEcho ha evolucionado para evadir la detección, como lo demuestran los cambios en la ofuscación y la cadena de eliminación.
  • GhostEcho es una primera etapa relativamente leve del ataque diseñada para proporcionar capacidades de seguimiento centradas en el espionaje, según lo documentado por Checkpoint Research.
  • Según las similitudes en las técnicas de entrega, Proofpoint sospecha que GhostEcho también se entregó a activistas por los derechos de las mujeres a fines de 2021.

Señuelo con temas controvertidos

  • En particular, TA453 usó un personaje ficticio, Samantha Wolf, para señuelos de ingeniería social de confrontación diseñados para explotar la sensación de inseguridad y miedo de los objetivos para engañarlos para que respondan a los correos electrónicos del ciberdelincuente.
  • Samantha envió estos señuelos, que cubren temas como accidentes automovilísticos y quejas comunes, a políticos y agencias gubernamentales de EE. UU. y Europa, una compañía de energía de Medio Oriente y un científico con sede en EE. UU.
Más proofpoint.com

 

Acerca de Proofpoint

Proofpoint, Inc. es una empresa líder en ciberseguridad. El enfoque de Proofpoint es la protección de los empleados. Porque estos significan el mayor capital para una empresa, pero también el mayor riesgo. Con un conjunto integrado de soluciones de ciberseguridad basadas en la nube, Proofpoint ayuda a las organizaciones de todo el mundo a detener las amenazas dirigidas, proteger sus datos y educar a los usuarios de TI empresariales sobre los riesgos de los ciberataques.

 

Artículos relacionados con el tema

Informe: 40 por ciento más de phishing en todo el mundo

El actual informe sobre spam y phishing de Kaspersky para 2023 habla por sí solo: los usuarios en Alemania buscan ➡ Leer más

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

BSI establece estándares mínimos para navegadores web

La BSI ha revisado el estándar mínimo para navegadores web para su administración y ha publicado la versión 3.0. puedes recordar eso ➡ Leer más

El malware sigiloso apunta a empresas europeas

Los piratas informáticos están atacando a muchas empresas de toda Europa con malware sigiloso. Los investigadores de ESET han informado de un aumento dramático en los llamados ataques AceCryptor a través de ➡ Leer más

Seguridad informática: base para LockBit 4.0 desactivada

Trend Micro, en colaboración con la Agencia Nacional contra el Crimen (NCA) del Reino Unido, analizó la versión inédita que estaba en desarrollo. ➡ Leer más

MDR y XDR a través de Google Workspace

Ya sea en una cafetería, en una terminal de aeropuerto o en la oficina en casa, los empleados trabajan en muchos lugares. Sin embargo, este desarrollo también trae desafíos ➡ Leer más

Prueba: software de seguridad para terminales y PC individuales

Los últimos resultados de las pruebas del laboratorio AV-TEST muestran un rendimiento muy bueno de 16 soluciones de protección establecidas para Windows ➡ Leer más

FBI: Informe sobre delitos en Internet contabiliza daños por valor de 12,5 millones de dólares 

El Centro de Denuncias de Delitos en Internet (IC3) del FBI ha publicado su Informe sobre delitos en Internet de 2023, que incluye información de más de 880.000 ➡ Leer más

Noticias cortas
, , , , , , ,