Iranische TA453-Gruppe zielt auf Forscher und Konten

B2B Cyber Security ShortNews

Beitrag teilen

Die mit dem Iran assoziierte Cyberkriminellen-Gruppe TA453 setzt vermehrt auf neue Angriffsmethoden und adressiert auf aggressive Weise auf neue Ziele. Das ist das vorläufige Ergebnis laufender Ermittlungen des Cybersecurity-Unternehmens Proofpoint.

Seit Ende 2020 beobachten Proofpoint-Forscher Abweichungen bei den Phishing-Aktivitäten von TA453 (die sich mit Gruppen überschneidet, die öffentlich als „Charming Kitten“, „PHOSPHORUS“ und „APT42“ bekannt sind), bei denen die Gruppe neue Methoden einsetzt und andere Ziele als in der Vergangenheit ins Visier nimmt.

TA453 auch bekannt als APT42

E-Mail-Kampagnen von TA453 hatten sich zuvor fast immer auf Akademiker, Forscher, Diplomaten, Dissidenten, Journalisten und Menschenrechtsaktivisten gerichtet und Web-Beacons in den Nachrichtentexten verwendet, bevor sie schließlich versuchten, die Anmeldedaten der Zielperson abzugreifen. Solche Kampagnen können mit wochenlangen harmlosen Konversationen über von den Akteuren erstellte Konten beginnen, bevor sie mit den eigentlichen Angriff starten.

Die neuartigen Kampagnen von TA453 adressieren u. a. Forscher im medizinischen Bereich, einen Luft- und Raumfahrtingenieur, einen Immobilienmakler und Reisebüros. Sie nutzen für TA453 neue Phishing-Techniken, darunter kompromittierte Konten, Malware und Köder mit kontroversen Themen. Es ist wahrscheinlich, dass die neuen Vorgehensweisen die veränderten geheimdienstlichen Anforderungen der Revolutionsgarde reflektieren. Die neuartigen Aktivitäten bietet Experten auch ein besseres Verständnis des Mandats der Revolutionsgarde und einen Einblick in die mögliche Unterstützung von TA453 für verdeckte und „kinetische“ Operationen.

Erwartungsgemäßes Verhalten

Proofpoint verfolgt etwa sechs Untergruppen von TA453, die sich in erster Linie nach Zielgruppen, Techniken und Infrastruktur unterscheiden. Unabhängig von der Untergruppe richtet sich TA453 in der Regel an Akademiker, politische Entscheidungsträger, Diplomaten, Journalisten, Menschenrechtsaktivisten, Dissidenten und Forscher mit Fachwissen über den Nahen Osten.

Die von TA453 registrierten E-Mail-Konten stimmen in der Regel thematisch mit ihren Zielen überein, und die Cyberkriminellen verwenden in ihren E-Mail-Kampagnen bevorzugt Web-Beacons. TA453 verlässt sich in hohem Maße auf harmlose Konversationen, um Kontakt mit den Zielpersonen aufzunehmen — Proofpoint hat 2022 mehr als 60 solcher Kampagnen beobachtet. TA453 sendet fast immer Links zum Sammeln von Anmeldeinformationen mit der Absicht, Zugang zum Posteingang der Zielperson zu erhalten und E-Mail-Inhalte auszuspionieren. Einige Untergruppen unterhalten sich wochenlang, bevor sie die bösartigen Links versenden, während andere den bösartigen Link sofort mit der ersten E-Mail versenden.

Neuartige Methoden und Zielgruppen

Die Experten von Proofpoint haben eine Reihe von Neuheiten in den Vorgehensweisen von TA453 beobachtet, die bisher, wenn überhaupt, nur wenig öffentliche Aufmerksamkeit erhalten haben:

Kompromittierte Konten

  • Zeitweise nutzte eine Untergruppe von TA453 kompromittierte Konten, um Einzelpersonen anzugreifen, anstatt von den Akteuren kontrollierte Konten zu verwenden.
  • Diese Gruppe nutzte URL-Verkürzer wie bnt2[.]live und nco2[.]live, die auf typische TA453-Seiten zum Sammeln von Anmeldeinformationen umleiteten.
  • Beispielsweise wurde 2021, etwa fünf Tage nachdem sich ein US-Regierungsvertreter öffentlich zu den Verhandlungen zum Nuklearpakt mit dem Iran geäußert hatte, der Pressesprecher des Beamten über ein kompromittiertes E-Mail-Konto eines lokalen Reporters angegriffen.

Malware

  • Im Herbst 2021 wurde GhostEcho (CharmPower), eine PowerShell-Backdoor, an verschiedene diplomatische Vertretungen in Teheran gesendet.
  • Während des gesamten Herbstes 2021 wurde GhostEcho weiterentwickelt, wie Änderungen an der Verschleierung und an der Kill Chain zeigen, um der Entdeckung zu entgehen.
  • GhostEcho ist eine relativ milde erste Stufe der Attacke, die dazu dient, auf Spionage ausgerichtete Folgefähigkeiten zu liefern, wie von Checkpoint Research dokumentiert.
  • Aufgrund von Ähnlichkeiten in den Übermittlungstechniken vermutet Proofpoint, dass GhostEcho Ende 2021 auch an Frauenrechtsaktivisten übermittelt wurde.

Köder mit kontroversen Themen

  • TA453 hat insbesondere eine fiktive Person, Samantha Wolf, für konfrontative Social-Engineering-Köder eingesetzt, die das Gefühl der Unsicherheit und Angst der Zielpersonen ausnutzen sollen, um sie dazu zu bringen, auf die E-Mails des Cyberkriminellen zu reagieren.
  • Samantha hat diese Köder, die u. a. Autounfälle und allgemeine Beschwerden thematisieren, an US-amerikanische und europäische Politiker und Regierungsstellen, ein Energieunternehmen im Nahen Osten und einen in den USA ansässigen Wissenschaftler geschickt.
Mehr proofpoint.com

 


Über Proofpoint

Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.


 

Passende Artikel zum Thema

RAG-Entwicklung in nur wenigen Minuten

Playground ist die neue, codearme Benutzeroberfläche von Elastic, der Search AI Company. Damit können Entwickler:innen mit Elasticsearch in nur wenigen ➡ Weiterlesen

Massenhafte Attacken gegen Edge-Dienste

Die Cyber-Bedrohungslandschaft in den Jahren 2023 und 2024 wird von Massenangriffen dominiert. Ein früherer Bericht über die Professionalisierung der Cyberkriminalität ➡ Weiterlesen

Report: 86 Prozent der CISOs setzen auf KI-basierte Cybersecurity

72 Prozent deutscher Chief Information Security Officers (CISOs) sehen im Versagen von Mitarbeitern das größte Cyberrisiko. 62 Prozent von ihnen ➡ Weiterlesen

Ransomware-Angriffe 2023: Über 50 neue Familien und Varianten

Ransomware-Angriffe sind ein großes und teures Problem für Unternehmen. Im letzten Jahr haben die Angriffe deutlich zugenommen, wie die Studie ➡ Weiterlesen

TÜV Rheinland wird Opfer von Cyberangriff

Cyberangriff: Laut einer Meldung wurde bei der Unternehmenstochter, TÜV Rheinland Akademie GmbH von Hackern angegriffen und Daten gestohlen. Laut dem ➡ Weiterlesen

NIS2 als Chance begreifen

Mit der bevorstehenden Frist zur Umsetzung der NIS2-Direktive stehen viele Unternehmen vor einer bedeutenden Herausforderung. Unsere Beobachtungen zeigen, dass viele ➡ Weiterlesen

Die chinesische Hacker-Gruppe Sharp Dragon

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform warnt vor der chinesischen Spionage-Hacker-Gruppe Sharp Dragon, die früher als Sharp Panda aufgetreten ist. ➡ Weiterlesen

Gefahr durch Phishing-as-a-Service-Toolkit V3B

Die Banken und Finanzinstitute in der Europäischen Union sehen sich einer ständig wachsenden Bedrohung durch Cyberangriffe ausgesetzt. Diese Bedrohungen sind ➡ Weiterlesen