Iranische TA453-Gruppe zielt auf Forscher und Konten

13. Januar 2023
| Keine Kommentare
B2B Cyber Security ShortNews

Beitrag teilen

Die mit dem Iran assoziierte Cyberkriminellen-Gruppe TA453 setzt vermehrt auf neue Angriffsmethoden und adressiert auf aggressive Weise auf neue Ziele. Das ist das vorläufige Ergebnis laufender Ermittlungen des Cybersecurity-Unternehmens Proofpoint.

Seit Ende 2020 beobachten Proofpoint-Forscher Abweichungen bei den Phishing-Aktivitäten von TA453 (die sich mit Gruppen überschneidet, die öffentlich als „Charming Kitten“, „PHOSPHORUS“ und „APT42“ bekannt sind), bei denen die Gruppe neue Methoden einsetzt und andere Ziele als in der Vergangenheit ins Visier nimmt.

TA453 auch bekannt als APT42

E-Mail-Kampagnen von TA453 hatten sich zuvor fast immer auf Akademiker, Forscher, Diplomaten, Dissidenten, Journalisten und Menschenrechtsaktivisten gerichtet und Web-Beacons in den Nachrichtentexten verwendet, bevor sie schließlich versuchten, die Anmeldedaten der Zielperson abzugreifen. Solche Kampagnen können mit wochenlangen harmlosen Konversationen über von den Akteuren erstellte Konten beginnen, bevor sie mit den eigentlichen Angriff starten.

Die neuartigen Kampagnen von TA453 adressieren u. a. Forscher im medizinischen Bereich, einen Luft- und Raumfahrtingenieur, einen Immobilienmakler und Reisebüros. Sie nutzen für TA453 neue Phishing-Techniken, darunter kompromittierte Konten, Malware und Köder mit kontroversen Themen. Es ist wahrscheinlich, dass die neuen Vorgehensweisen die veränderten geheimdienstlichen Anforderungen der Revolutionsgarde reflektieren. Die neuartigen Aktivitäten bietet Experten auch ein besseres Verständnis des Mandats der Revolutionsgarde und einen Einblick in die mögliche Unterstützung von TA453 für verdeckte und „kinetische“ Operationen.

Erwartungsgemäßes Verhalten

Proofpoint verfolgt etwa sechs Untergruppen von TA453, die sich in erster Linie nach Zielgruppen, Techniken und Infrastruktur unterscheiden. Unabhängig von der Untergruppe richtet sich TA453 in der Regel an Akademiker, politische Entscheidungsträger, Diplomaten, Journalisten, Menschenrechtsaktivisten, Dissidenten und Forscher mit Fachwissen über den Nahen Osten.

Die von TA453 registrierten E-Mail-Konten stimmen in der Regel thematisch mit ihren Zielen überein, und die Cyberkriminellen verwenden in ihren E-Mail-Kampagnen bevorzugt Web-Beacons. TA453 verlässt sich in hohem Maße auf harmlose Konversationen, um Kontakt mit den Zielpersonen aufzunehmen — Proofpoint hat 2022 mehr als 60 solcher Kampagnen beobachtet. TA453 sendet fast immer Links zum Sammeln von Anmeldeinformationen mit der Absicht, Zugang zum Posteingang der Zielperson zu erhalten und E-Mail-Inhalte auszuspionieren. Einige Untergruppen unterhalten sich wochenlang, bevor sie die bösartigen Links versenden, während andere den bösartigen Link sofort mit der ersten E-Mail versenden.

Neuartige Methoden und Zielgruppen

Die Experten von Proofpoint haben eine Reihe von Neuheiten in den Vorgehensweisen von TA453 beobachtet, die bisher, wenn überhaupt, nur wenig öffentliche Aufmerksamkeit erhalten haben:

Kompromittierte Konten

  • Zeitweise nutzte eine Untergruppe von TA453 kompromittierte Konten, um Einzelpersonen anzugreifen, anstatt von den Akteuren kontrollierte Konten zu verwenden.
  • Diese Gruppe nutzte URL-Verkürzer wie bnt2[.]live und nco2[.]live, die auf typische TA453-Seiten zum Sammeln von Anmeldeinformationen umleiteten.
  • Beispielsweise wurde 2021, etwa fünf Tage nachdem sich ein US-Regierungsvertreter öffentlich zu den Verhandlungen zum Nuklearpakt mit dem Iran geäußert hatte, der Pressesprecher des Beamten über ein kompromittiertes E-Mail-Konto eines lokalen Reporters angegriffen.

Malware

  • Im Herbst 2021 wurde GhostEcho (CharmPower), eine PowerShell-Backdoor, an verschiedene diplomatische Vertretungen in Teheran gesendet.
  • Während des gesamten Herbstes 2021 wurde GhostEcho weiterentwickelt, wie Änderungen an der Verschleierung und an der Kill Chain zeigen, um der Entdeckung zu entgehen.
  • GhostEcho ist eine relativ milde erste Stufe der Attacke, die dazu dient, auf Spionage ausgerichtete Folgefähigkeiten zu liefern, wie von Checkpoint Research dokumentiert.
  • Aufgrund von Ähnlichkeiten in den Übermittlungstechniken vermutet Proofpoint, dass GhostEcho Ende 2021 auch an Frauenrechtsaktivisten übermittelt wurde.

Köder mit kontroversen Themen

  • TA453 hat insbesondere eine fiktive Person, Samantha Wolf, für konfrontative Social-Engineering-Köder eingesetzt, die das Gefühl der Unsicherheit und Angst der Zielpersonen ausnutzen sollen, um sie dazu zu bringen, auf die E-Mails des Cyberkriminellen zu reagieren.
  • Samantha hat diese Köder, die u. a. Autounfälle und allgemeine Beschwerden thematisieren, an US-amerikanische und europäische Politiker und Regierungsstellen, ein Energieunternehmen im Nahen Osten und einen in den USA ansässigen Wissenschaftler geschickt.
Mehr proofpoint.com

 

Über Proofpoint

Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.

 

Passende Artikel zum Thema

Forscher: Cisco-Appliance geknackt und Doom darauf installiert 

Der Sicherheitsforscher Aaron Thacker wollte eigentlich nur aus einer Cisco-Appliance einen Server basteln. Dabei entdeckte er eine Schwachstelle in der ➡ Weiterlesen

Quantensichere Verschlüsselung

Ein Anbieter von Lösungen, die das Privileged Access Management (PAM) nahtlos erweitern, bietet ab sofort einen effektiven Schutz vor Bedrohungen ➡ Weiterlesen

Neue russische Malware Kapeka entdeckt

Die Security-Experten von WithSecure haben Kapeka enttarnt. Die neue Malware scheint Verbindungen zur russischen Hacker-Gruppe Sandworm zu haben. Mehrere Faktoren ➡ Weiterlesen

Lancom LCOS mit Schwachstelle bei Root-Passwort 

Lancom und auch das BSI melden einen Konfigurations-Bug für das Betriebssystem LCOS: Eine Schwachstelle mit dem CVSS-Wert von 6.8 kann ➡ Weiterlesen

Schwachstellen XenServer und Citrix Hypervisor

Citrix warnt vor zwei Schwachstellen in XenServer und Citrix Hypervisor. Die Sicherheitslücken sind zwar nur mittelschwer, aber dennoch wird ein ➡ Weiterlesen

Erfolgreiches Phishing: Angreifer attackieren MFA-Dienstleister für Cisco Duo 

Kurz "Duo" nennt Cisco seine Zero-Trust-Sicherheitsplattform. Deren Zugänge sind state of the art durch eine Multi-Faktor-Authentifizierung (MFA) geschützt. Durch einen ➡ Weiterlesen

Nordkoreanische Staatshacker setzen auf neue Spionagetaktiken

Erst einmal reden, dann hacken: Die nordkoreanische Hackergruppe TA427 versucht auf recht unspektakuläre Weise Außenpolitikexperten anzusprechen, um deren Standpunkt zu ➡ Weiterlesen

Desinformationskampagnen aus China

Der Bericht, dass China angeblich Wahlen stört und manipuliert, indem es KI-generierte Inhalte zur Verbreitung von Desinformationen nutzt, sollte keine ➡ Weiterlesen

Short-News
, , , , , , ,