Le groupe cybercriminel TA453, associé à l'Iran, utilise de plus en plus de nouvelles méthodes d'attaque et s'attaque agressivement à de nouvelles cibles. C'est le résultat préliminaire des enquêtes en cours menées par la société de cybersécurité Proofpoint.
Depuis fin 2020, les chercheurs de Proofpoint ont observé des écarts dans l'activité de phishing de TA453 (qui chevauche des groupes publiquement connus sous le nom de "Charming Kitten", "PHOSPHORUS" et "APT42"), le groupe utilisant de nouvelles méthodes et d'autres cibles que par le passé.
TA453 également connu sous le nom d'APT42
Les précédentes campagnes par e-mail de TA453 avaient presque toujours ciblé des universitaires, des chercheurs, des diplomates, des dissidents, des journalistes et des militants des droits de l'homme, en utilisant des balises Web dans le corps du message avant de finalement tenter de récolter les informations d'identification de la cible. De telles campagnes peuvent commencer par des semaines de conversations inoffensives sur les comptes créés par les acteurs avant de lancer l'attaque proprement dite.
Les nouvelles campagnes de TA453 ciblent, entre autres, les chercheurs en médecine, un ingénieur en aérospatiale, un agent immobilier et des agents de voyage. Ils utilisent de nouvelles techniques de phishing pour TA453, y compris des comptes compromis, des logiciels malveillants et des appâts de sujets controversés. Il est probable que les nouvelles procédures reflètent l'évolution des besoins en matière de renseignement des Gardiens de la révolution. La nouvelle activité fournit également aux experts une meilleure compréhension du mandat des Gardiens de la révolution et un aperçu du soutien potentiel de TA453 pour les opérations secrètes et « cinétiques ».
Comportement attendu
Proofpoint suit environ six sous-ensembles de TA453, principalement différenciés par les publics, les techniques et l'infrastructure. Quel que soit le sous-groupe, TA453 s'adresse généralement aux universitaires, décideurs politiques, diplomates, journalistes, défenseurs des droits de l'homme, dissidents et chercheurs ayant une expertise au Moyen-Orient.
Les comptes de messagerie enregistrés par TA453 ont tendance à être thématiquement cohérents avec leurs cibles, et les cybercriminels préfèrent utiliser des balises Web dans leurs campagnes de messagerie. TA453 s'appuie fortement sur des conversations anodines pour contacter des cibles - Proofpoint a observé plus de 2022 campagnes de ce type en 60. TA453 envoie presque toujours des liens de collecte d'informations d'identification dans le but d'accéder à la boîte de réception de la cible et d'espionner le contenu des e-mails. Certains sous-groupes discutent pendant des semaines avant d'envoyer les liens malveillants, tandis que d'autres envoient immédiatement le lien malveillant dans le premier e-mail.
Nouvelles méthodes et groupes cibles
Les experts de Proofpoint ont observé un certain nombre de nouveautés dans les procédures de TA453 qui n'ont reçu que peu ou pas d'attention du public :
Comptes compromis
- Parfois, un sous-ensemble de TA453 utilisait des comptes compromis pour cibler des individus au lieu d'utiliser des comptes contrôlés par des acteurs.
- Ce groupe a utilisé des raccourcisseurs d'URL tels que bnt2[.]live et nco2[.]live, qui ont redirigé vers des pages TA453 typiques pour collecter les informations d'identification.
- Par exemple, en 2021, environ cinq jours après qu'un responsable américain a parlé publiquement des négociations sur l'accord sur le nucléaire iranien, l'attaché de presse du responsable a été attaqué via un compte de messagerie compromis appartenant à un journaliste local.
Malware
- À l'automne 2021, GhostEcho (CharmPower), une porte dérobée PowerShell, a été envoyée dans diverses missions diplomatiques à Téhéran.
- Tout au long de l'automne 2021, GhostEcho a évolué pour échapper à la détection, comme en témoignent les modifications apportées à l'obscurcissement et à la chaîne de destruction.
- GhostEcho est une première étape relativement douce de l'attaque conçue pour fournir des capacités de suivi axées sur l'espionnage, comme documenté par Checkpoint Research.
- Sur la base des similitudes dans les techniques de livraison, Proofpoint soupçonne que GhostEcho a également été livré à des militantes des droits des femmes fin 2021.
Attirer avec des questions controversées
- Notamment, TA453 a utilisé un personnage fictif, Samantha Wolf, pour des leurres d'ingénierie sociale conflictuels conçus pour exploiter le sentiment d'insécurité et de peur des cibles afin de les inciter à répondre aux e-mails du cybercriminel.
- Samantha a envoyé ces leurres, qui couvrent des sujets tels que les accidents de voiture et les griefs communs, à des politiciens et agences gouvernementales américains et européens, à une société énergétique du Moyen-Orient et à un scientifique basé aux États-Unis.
À propos de Propoint Proofpoint, Inc. est une entreprise leader dans le domaine de la cybersécurité. Proofpoint se concentre sur la protection des employés. Parce que ceux-ci signifient le plus grand capital pour une entreprise, mais aussi le plus grand risque. Avec une suite intégrée de solutions de cybersécurité basées sur le cloud, Proofpoint aide les organisations du monde entier à stopper les menaces ciblées, à protéger leurs données et à informer les utilisateurs informatiques des entreprises sur les risques de cyberattaques.