Die mit dem Iran assoziierte Cyberkriminellen-Gruppe TA453 setzt vermehrt auf neue Angriffsmethoden und adressiert auf aggressive Weise auf neue Ziele. Das ist das vorläufige Ergebnis laufender Ermittlungen des Cybersecurity-Unternehmens Proofpoint.
Seit Ende 2020 beobachten Proofpoint-Forscher Abweichungen bei den Phishing-Aktivitäten von TA453 (die sich mit Gruppen überschneidet, die öffentlich als „Charming Kitten“, „PHOSPHORUS“ und „APT42“ bekannt sind), bei denen die Gruppe neue Methoden einsetzt und andere Ziele als in der Vergangenheit ins Visier nimmt.
TA453 auch bekannt als APT42
E-Mail-Kampagnen von TA453 hatten sich zuvor fast immer auf Akademiker, Forscher, Diplomaten, Dissidenten, Journalisten und Menschenrechtsaktivisten gerichtet und Web-Beacons in den Nachrichtentexten verwendet, bevor sie schließlich versuchten, die Anmeldedaten der Zielperson abzugreifen. Solche Kampagnen können mit wochenlangen harmlosen Konversationen über von den Akteuren erstellte Konten beginnen, bevor sie mit den eigentlichen Angriff starten.
Die neuartigen Kampagnen von TA453 adressieren u. a. Forscher im medizinischen Bereich, einen Luft- und Raumfahrtingenieur, einen Immobilienmakler und Reisebüros. Sie nutzen für TA453 neue Phishing-Techniken, darunter kompromittierte Konten, Malware und Köder mit kontroversen Themen. Es ist wahrscheinlich, dass die neuen Vorgehensweisen die veränderten geheimdienstlichen Anforderungen der Revolutionsgarde reflektieren. Die neuartigen Aktivitäten bietet Experten auch ein besseres Verständnis des Mandats der Revolutionsgarde und einen Einblick in die mögliche Unterstützung von TA453 für verdeckte und „kinetische“ Operationen.
Erwartungsgemäßes Verhalten
Proofpoint verfolgt etwa sechs Untergruppen von TA453, die sich in erster Linie nach Zielgruppen, Techniken und Infrastruktur unterscheiden. Unabhängig von der Untergruppe richtet sich TA453 in der Regel an Akademiker, politische Entscheidungsträger, Diplomaten, Journalisten, Menschenrechtsaktivisten, Dissidenten und Forscher mit Fachwissen über den Nahen Osten.
Die von TA453 registrierten E-Mail-Konten stimmen in der Regel thematisch mit ihren Zielen überein, und die Cyberkriminellen verwenden in ihren E-Mail-Kampagnen bevorzugt Web-Beacons. TA453 verlässt sich in hohem Maße auf harmlose Konversationen, um Kontakt mit den Zielpersonen aufzunehmen — Proofpoint hat 2022 mehr als 60 solcher Kampagnen beobachtet. TA453 sendet fast immer Links zum Sammeln von Anmeldeinformationen mit der Absicht, Zugang zum Posteingang der Zielperson zu erhalten und E-Mail-Inhalte auszuspionieren. Einige Untergruppen unterhalten sich wochenlang, bevor sie die bösartigen Links versenden, während andere den bösartigen Link sofort mit der ersten E-Mail versenden.
Neuartige Methoden und Zielgruppen
Die Experten von Proofpoint haben eine Reihe von Neuheiten in den Vorgehensweisen von TA453 beobachtet, die bisher, wenn überhaupt, nur wenig öffentliche Aufmerksamkeit erhalten haben:
Kompromittierte Konten
- Zeitweise nutzte eine Untergruppe von TA453 kompromittierte Konten, um Einzelpersonen anzugreifen, anstatt von den Akteuren kontrollierte Konten zu verwenden.
- Diese Gruppe nutzte URL-Verkürzer wie bnt2[.]live und nco2[.]live, die auf typische TA453-Seiten zum Sammeln von Anmeldeinformationen umleiteten.
- Beispielsweise wurde 2021, etwa fünf Tage nachdem sich ein US-Regierungsvertreter öffentlich zu den Verhandlungen zum Nuklearpakt mit dem Iran geäußert hatte, der Pressesprecher des Beamten über ein kompromittiertes E-Mail-Konto eines lokalen Reporters angegriffen.
Malware
- Im Herbst 2021 wurde GhostEcho (CharmPower), eine PowerShell-Backdoor, an verschiedene diplomatische Vertretungen in Teheran gesendet.
- Während des gesamten Herbstes 2021 wurde GhostEcho weiterentwickelt, wie Änderungen an der Verschleierung und an der Kill Chain zeigen, um der Entdeckung zu entgehen.
- GhostEcho ist eine relativ milde erste Stufe der Attacke, die dazu dient, auf Spionage ausgerichtete Folgefähigkeiten zu liefern, wie von Checkpoint Research dokumentiert.
- Aufgrund von Ähnlichkeiten in den Übermittlungstechniken vermutet Proofpoint, dass GhostEcho Ende 2021 auch an Frauenrechtsaktivisten übermittelt wurde.
Köder mit kontroversen Themen
- TA453 hat insbesondere eine fiktive Person, Samantha Wolf, für konfrontative Social-Engineering-Köder eingesetzt, die das Gefühl der Unsicherheit und Angst der Zielpersonen ausnutzen sollen, um sie dazu zu bringen, auf die E-Mails des Cyberkriminellen zu reagieren.
- Samantha hat diese Köder, die u. a. Autounfälle und allgemeine Beschwerden thematisieren, an US-amerikanische und europäische Politiker und Regierungsstellen, ein Energieunternehmen im Nahen Osten und einen in den USA ansässigen Wissenschaftler geschickt.
Über Proofpoint Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.