Iranische Hacker: Cyberangriffe auf westliche Politikexperten

B2B Cyber Security ShortNews

Beitrag teilen

Die Cybersecurity-Experten von Proofpoint haben eine Untersuchung zu der vom Iran gelenkten Hackergruppe TA453, auch bekannt als Charming Kitten, PHOSPHORUS und APT42, veröffentlicht.

Demnach hat es die Gruppe seit Neuestem auf Zielpersonen abgesehen, die sich auf Themen rund um den Nahen Osten, nukleare Sicherheit und Genforschung spezialisiert haben. Bei jedem ihrer zuletzt beobachteten Angriffe via E-Mails wurden mehrere gefälschte Identitäten verwendet. Hierzu nutzte TA453 Identitäten von echten Personen, die in westlichen Forschungseinrichtungen im Bereich Außenpolitik tätig sind. Bei den Angriffen kommen zudem neue Social-Engineering-Taktiken zum Einsatz, um im Auftrag der Islamischen Revolutionsgarden des Iran Informationen zu erbeuten.

Wichtigste Erkenntnissen der Untersuchung

Bei den Kampagnen von TA453 konnte beobachtet werden, wie sich die Gruppe bei ihren Spear-Phishing-Angriffen mehrerer Identitäten bediente, um sich das psychologische Prinzip des sogenannten Social Proof zunutze zu machen. Hierdurch soll insbesondere die vermeintliche Authentizität der Korrespondenz gesteigert werden.

Die von TA453 missbrauchten Identitäten umfassen echte Personen, die beim PEW Research Center, dem Foreign Policy Research Institute (FRPI), dem britischen Chatham House und der Wissenschaftszeitschrift Nature tätig sind. Mittels dieser Vorgehensweise wurden Personen attackiert, die über Informationen bezüglich dem Staat Israel, den Golfstaaten, der Abraham Accords Declaration sowie bezüglich der Nuklearwaffenkontrolle im Zusammenhang mit einem möglichen Konflikt zwischen den USA und Russland verfügen. Die Security-Experten von Proofpoint gehen davon aus, dass TA453 zur Unterstützung der Islamischen Revolutionsgarden (IRGC) operiert, wobei diese Cyberspionage-Kampagnen darauf abzielen, sensible Daten und Informationen zu stehlen.

Kommentar von Proofpoint

„Staatlich geförderte Hackergruppen gehören zu den Besten, wenn es darum geht, gut durchdachte Social-Engineering-Kampagnen zu entwerfen, um Opfer in die Falle zu locken. In diesem Fall haben unsere Spezialisten festgestellt, dass die mit dem Iran verbündete Gruppe TA453 seine Aktivitäten durch den Einsatz gleich mehrerer gefälschter Identitäten ausgeweitet hat – die Gruppe nutzt hierbei Social Proof, um die Zielperson von der Echtheit der Anfrage zu überzeugen. Dabei handelt es sich um eine faszinierende Technik, da sie pro Zielperson größere Ressourcen – unter Umständen werden dabei mehrere Identitäten ‚verbrannt‘ – und einen koordinierten Ansatz zwischen den verschiedenen Identitäten erfordert, die von TA453 eingesetzt werden.”

“Forscher, die im Bereich der internationalen Beziehungen tätig sind, insbesondere solche, die sich auf Studien über den Nahen Osten oder nukleare Sicherheit spezialisiert haben, sollten ein erhöhtes Maß an Aufmerksamkeit walten lassen, wenn sie unaufgeforderte E-Mails erhalten. So sollten Experten, die von Journalisten kontaktiert werden, die Website der Publikation überprüfen, um festzustellen, ob die E-Mail-Adresse zu einem tatsächlichen Reporter gehört.“ So Sherrod DeGrippo, VP of Threat Research and Detection bei Proofpoint.

Mehr bei ProofPoint.com

 


Über Proofpoint

Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.


 

Passende Artikel zum Thema

Unternehmen geben 10 Mrd. Euro für Cybersicherheit aus

Deutschland wappnet sich gegen Cyberangriffe und investiert dazu mehr denn je in IT- und Cybersicherheit. Im laufenden Jahr werden die ➡ Weiterlesen

Qakbot bleibt gefährlich

Sophos X-Ops hat eine neue Variante der Qakbot-Malware entdeckt und analysiert. Erstmals traten diese Fälle Mitte Dezember auf und sie ➡ Weiterlesen

VexTrio: bösartigster DNS-Bedrohungsakteur identifiziert

Ein Anbieter für DNS-Management und -Sicherheit hat VexTrio, ein komplexes, kriminelles Affiliate-Programm enttarnt und geblockt. Damit erhöhen sie die Cybersicherheit. ➡ Weiterlesen

Ein Comeback von Lockbit ist wahrscheinlich

Für Lockbit ist es elementar wichtig, schnell wieder sichtbar zu sein. Opfer sind mutmaßlich weniger zahlungsfreudig, solange es Gerüchte gibt, ➡ Weiterlesen

LockBit lebt

Vor wenigen Tagen ist internationalen Strafverfolgungsbehörden ein entscheidender Schlag gegen Lockbit gelungen. Laut einem Kommentar von Chester Wisniewski, Director, Global ➡ Weiterlesen

Cybergefahr Raspberry Robin

Ein führender Anbieter einer KI-gestützten, in der Cloud bereitgestellten Cyber-Sicherheitsplattform, warnt vor Raspberry Robin. Die Malware wurde erstmals im Jahr ➡ Weiterlesen

Neue Masche Deep Fake Boss

Anders als bei klassischen Betrugsmaschen wie der E-Mail-gestützten Chef-Masche, greift die Methode  Deep Fake Boss auf hochtechnologische Manipulation zurück, um ➡ Weiterlesen

Einordnung der LockBit-Zerschlagung

Den europäischen und amerikanischern Strafverfolgungsbehörden ist es gelungen, zwei Mitglieder der berüchtigten LockBit-Gruppierung festzunehmen. Dieser wichtige Schlag gegen die Ransomware-Gruppe ➡ Weiterlesen