ईरानी TA453 समूह शोधकर्ताओं और खातों को लक्षित करता है

साइबर अपराधी समूह TA453, जो ईरान से जुड़ा है, हमले के नए तरीकों का तेजी से उपयोग कर रहा है और नए लक्ष्यों को आक्रामक रूप से संबोधित कर रहा है। यह साइबर सुरक्षा कंपनी प्रूफपॉइंट द्वारा चल रही जांच का प्रारंभिक परिणाम है।

2020 के अंत से, प्रूफपॉइंट शोधकर्ताओं ने TA453 की फ़िशिंग गतिविधि (जो सार्वजनिक रूप से "आकर्षक बिल्ली का बच्चा", "फॉस्फोरस" और "APT42" के रूप में जाने जाने वाले समूहों के साथ ओवरलैप होती है) में विसंगतियों का अवलोकन किया है, जिसमें समूह अतीत की तुलना में नए तरीकों और अन्य लक्ष्यों का उपयोग कर रहा है।

TA453 को APT42 के नाम से भी जाना जाता है

TA453 के पिछले ईमेल अभियानों ने लगभग हमेशा शिक्षाविदों, शोधकर्ताओं, राजनयिकों, असंतुष्टों, पत्रकारों और मानवाधिकार कार्यकर्ताओं को लक्षित किया था, अंततः लक्ष्य की साख को काटने का प्रयास करने से पहले संदेश के मुख्य भाग में वेब बीकन का उपयोग किया। इस तरह के अभियान वास्तविक हमले शुरू करने से पहले अभिनेताओं द्वारा बनाए गए खातों के बारे में हफ्तों तक हानिरहित बातचीत के साथ शुरू हो सकते हैं।

टीए453 के अनूठे अभियान अन्य लोगों के अलावा चिकित्सा शोधकर्ताओं, एक एयरोस्पेस इंजीनियर, एक रियल एस्टेट एजेंट और ट्रैवल एजेंटों को लक्षित करते हैं। वे TA453 के लिए नई फ़िशिंग तकनीकों का उपयोग करते हैं, जिनमें हैक किए गए खाते, मैलवेयर और विवादास्पद विषयगत प्रलोभन शामिल हैं। यह संभावना है कि नई प्रक्रियाएं रिवोल्यूशनरी गार्ड की बदलती खुफिया आवश्यकताओं को दर्शाती हैं। नई गतिविधि रिवोल्यूशनरी गार्ड के शासनादेश की बेहतर समझ और गुप्त और "काइनेटिक" संचालन के लिए TA453 के संभावित समर्थन की एक झलक के साथ विशेषज्ञों को भी प्रदान करती है।

अपेक्षित व्यवहार

प्रूफपॉइंट TA453 के लगभग छह सबसेट को ट्रैक करता है, मुख्य रूप से दर्शकों, तकनीकों और बुनियादी ढांचे द्वारा विभेदित। उपसमूह के बावजूद, TA453 आमतौर पर मध्य पूर्व में विशेषज्ञता वाले शिक्षाविदों, नीति निर्माताओं, राजनयिकों, पत्रकारों, मानवाधिकार रक्षकों, असंतुष्टों और शोधकर्ताओं के उद्देश्य से है।

TA453 द्वारा पंजीकृत ईमेल खाते विषयगत रूप से अपने लक्ष्यों के अनुरूप होते हैं, और साइबर अपराधी अपने ईमेल अभियानों में वेब बीकन का उपयोग करना पसंद करते हैं। TA453 लक्ष्यों से संपर्क करने के लिए सहज बातचीत पर बहुत अधिक निर्भर करता है - प्रूफपॉइंट ने 2022 में 60 से अधिक ऐसे अभियानों का अवलोकन किया। TA453 लक्ष्य के इनबॉक्स तक पहुंच प्राप्त करने और ईमेल सामग्री पर जासूसी करने के इरादे से लगभग हमेशा क्रेडेंशियल-इकट्ठा करने वाले लिंक भेजता है। कुछ उपसमूह दुर्भावनापूर्ण लिंक भेजने से पहले हफ्तों तक चैट करते हैं, जबकि अन्य तुरंत पहले ईमेल में दुर्भावनापूर्ण लिंक भेजते हैं।

उपन्यास के तरीके और लक्ष्य समूह

प्रूफ़पॉइंट के विशेषज्ञों ने TA453 की प्रक्रियाओं में कई नवीनताओं का अवलोकन किया है जिन पर जनता का बहुत कम ध्यान गया है:

समझौता किए गए खाते

• कई बार, TA453 के एक सबसेट ने अभिनेताओं द्वारा नियंत्रित खातों का उपयोग करने के बजाय व्यक्तियों को लक्षित करने के लिए समझौता किए गए खातों का उपयोग किया।
• इस समूह ने URL शॉर्टनर जैसे bnt2[.]live और nco2[.]live का उपयोग किया, जो क्रेडेंशियल एकत्र करने के लिए विशिष्ट TA453 पृष्ठों पर पुनर्निर्देशित किया गया।
• उदाहरण के लिए, 2021 में, एक अमेरिकी अधिकारी द्वारा ईरान परमाणु समझौते पर बातचीत के बारे में सार्वजनिक रूप से बोलने के लगभग पांच दिन बाद, अधिकारी के प्रेस सचिव पर एक स्थानीय रिपोर्टर से संबंधित ईमेल खाते के माध्यम से हमला किया गया था।

Malware

• 2021 के पतन में, घोस्टइको (चार्मपॉवर), एक पॉवरशेल बैकडोर, तेहरान में विभिन्न राजनयिक मिशनों के लिए भेजा गया था।
• फॉल 2021 के दौरान, घोस्टइको पहचान से बचने के लिए विकसित हो रहा है, जैसा कि अस्पष्टता और हत्या श्रृंखला में परिवर्तन से प्रमाणित है।
• घोस्टइको, जासूसी-केंद्रित अनुवर्ती क्षमताओं को प्रदान करने के लिए डिज़ाइन किए गए हमले का एक अपेक्षाकृत हल्का पहला चरण है, जैसा कि चेकपॉइंट रिसर्च द्वारा प्रलेखित है।
• वितरण तकनीकों में समानता के आधार पर, प्रूफपॉइंट को संदेह है कि घोस्टइको को 2021 के अंत में महिला अधिकार कार्यकर्ताओं को भी दिया गया था।

विवादास्पद मुद्दों से आकर्षित

• विशेष रूप से, TA453 ने एक काल्पनिक चरित्र, सामंथा वुल्फ का इस्तेमाल किया, जो साइबर क्रिमिनल के ईमेल का जवाब देने के लिए लक्ष्य की असुरक्षा और भय की भावना का फायदा उठाने के लिए डिज़ाइन किए गए टकराव वाले सोशल इंजीनियरिंग डिकॉय के लिए था।
• सामंथा ने ये लालच अमेरिकी और यूरोपीय राजनेताओं और सरकारी एजेंसियों, एक मध्य पूर्व ऊर्जा कंपनी और एक अमेरिकी-आधारित वैज्ञानिक को भेजे, जो कार दुर्घटनाओं और आम शिकायतों जैसे विषयों को कवर करते हैं।

अधिक प्रूफपॉइंट डॉट कॉम

 

---

प्रूफपॉइंट के बारे में

प्रूफपॉइंट, इंक. एक अग्रणी साइबर सुरक्षा कंपनी है। प्रूफपॉइंट का फोकस कर्मचारियों की सुरक्षा है। क्योंकि इनका मतलब किसी कंपनी के लिए सबसे बड़ी पूंजी है, लेकिन सबसे बड़ा जोखिम भी। क्लाउड-आधारित साइबर सुरक्षा समाधानों के एक एकीकृत सूट के साथ, प्रूफपॉइंट दुनिया भर के संगठनों को लक्षित खतरों को रोकने में मदद करता है, उनके डेटा की रक्षा करता है, और एंटरप्राइज़ आईटी उपयोगकर्ताओं को साइबर हमलों के जोखिमों के बारे में शिक्षित करता है।

---

 

विषय से संबंधित लेख