Il gruppo criminale informatico TA453, associato all'Iran, utilizza sempre più nuovi metodi di attacco e affronta in modo aggressivo nuovi obiettivi. Questo è il risultato preliminare delle indagini in corso da parte della società di sicurezza informatica Proofpoint.
Dalla fine del 2020, i ricercatori di Proofpoint hanno osservato discrepanze nell'attività di phishing di TA453 (che si sovrappone a gruppi pubblicamente noti come "Charming Kitten", "PHOSPHORUS" e "APT42"), con il gruppo che utilizza nuovi metodi e altri obiettivi rispetto al passato.
TA453 noto anche come APT42
Le precedenti campagne e-mail di TA453 avevano quasi sempre preso di mira accademici, ricercatori, diplomatici, dissidenti, giornalisti e attivisti per i diritti umani, utilizzando web beacon nel corpo del messaggio prima di tentare infine di raccogliere le credenziali del bersaglio. Tali campagne possono iniziare con settimane di conversazioni innocue sugli account creati dagli attori prima di lanciare l'attacco vero e proprio.
Le nuove campagne di TA453 si rivolgono a ricercatori medici, un ingegnere aerospaziale, un agente immobiliare e agenti di viaggio, tra gli altri. Usano nuove tecniche di phishing per TA453, inclusi account compromessi, malware e argomenti controversi. È probabile che le nuove procedure riflettano i mutevoli requisiti di intelligence della Guardia rivoluzionaria. La nuova attività fornisce inoltre agli esperti una migliore comprensione del mandato della Guardia rivoluzionaria e un assaggio del potenziale supporto di TA453 per operazioni segrete e "cinetiche".
Comportamento atteso
Proofpoint tiene traccia di circa sei sottoinsiemi di TA453, principalmente differenziati per pubblico, tecniche e infrastruttura. Indipendentemente dal sottogruppo, TA453 si rivolge tipicamente ad accademici, politici, diplomatici, giornalisti, difensori dei diritti umani, dissidenti e ricercatori con esperienza in Medio Oriente.
Gli account e-mail registrati da TA453 tendono ad essere tematicamente coerenti con i loro obiettivi e i criminali informatici preferiscono utilizzare i web beacon nelle loro campagne e-mail. TA453 fa molto affidamento su conversazioni innocue per contattare gli obiettivi: Proofpoint ha osservato più di 2022 campagne di questo tipo nel 60. TA453 invia quasi sempre collegamenti per la raccolta di credenziali con l'intenzione di ottenere l'accesso alla posta in arrivo del bersaglio e spiare i contenuti delle e-mail. Alcuni sottogruppi chattano per settimane prima di inviare i collegamenti dannosi, mentre altri inviano immediatamente il collegamento dannoso nella prima e-mail.
Nuovi metodi e gruppi target
Gli esperti di Proofpoint hanno osservato una serie di novità nelle procedure di TA453 che hanno ricevuto poca o nessuna attenzione pubblica:
Conti compromessi
- A volte, un sottoinsieme di TA453 utilizzava account compromessi per prendere di mira individui invece di utilizzare account controllati da attori.
- Questo gruppo utilizzava accorciatori di URL come bnt2[.]live e nco2[.]live, che reindirizzavano alle tipiche pagine TA453 per la raccolta delle credenziali.
- Ad esempio, nel 2021, circa cinque giorni dopo che un funzionario statunitense aveva parlato pubblicamente dei negoziati sull'accordo nucleare iraniano, l'addetto stampa del funzionario è stato attaccato tramite un account di posta elettronica compromesso appartenente a un giornalista locale.
Malware
- Nell'autunno del 2021, GhostEcho (CharmPower), una backdoor di PowerShell, è stata inviata a varie missioni diplomatiche a Teheran.
- Per tutto l'autunno 2021, GhostEcho si è evoluto per eludere il rilevamento, come evidenziato dalle modifiche all'offuscamento e alla kill chain.
- GhostEcho è una prima fase relativamente mite dell'attacco progettata per fornire capacità di follow-up incentrate sullo spionaggio, come documentato da Checkpoint Research.
- Sulla base delle somiglianze nelle tecniche di consegna, Proofpoint sospetta che GhostEcho sia stato consegnato anche agli attivisti per i diritti delle donne alla fine del 2021.
Esca con questioni controverse
- In particolare, TA453 ha utilizzato un personaggio immaginario, Samantha Wolf, per esche conflittuali di ingegneria sociale progettate per sfruttare il senso di insicurezza e paura degli obiettivi al fine di indurli a rispondere alle e-mail del criminale informatico.
- Samantha ha inviato queste esche, che trattano argomenti come incidenti automobilistici e lamentele comuni, a politici e agenzie governative statunitensi ed europee, a una società energetica del Medio Oriente e a uno scienziato con sede negli Stati Uniti.
A proposito di Proofpoint Proofpoint, Inc. è un'azienda leader nella sicurezza informatica. L'obiettivo di Proofpoint è la protezione dei dipendenti. Perché questi significano il capitale più grande per un'azienda, ma anche il rischio più grande. Con una suite integrata di soluzioni di sicurezza informatica basate su cloud, Proofpoint aiuta le organizzazioni di tutto il mondo a bloccare le minacce mirate, proteggere i propri dati e istruire gli utenti IT aziendali sui rischi degli attacchi informatici.