イランに関連するサイバー犯罪グループ TA453 は、ますます新しい攻撃方法を使用し、新しい標的に積極的に対処しています。 これは、サイバーセキュリティ企業 Proofpoint による進行中の調査の暫定的な結果です。
2020 年後半以降、Proofpoint の研究者は、TA453 のフィッシング活動 (「Charming Kitten」、「PHOSPHORUS」、および「APT42」として知られているグループと重複) に食い違いがあることを観察しており、このグループは新しい方法を使用し、過去よりも他のターゲットを狙っています。
APT453としても知られるTA42
TA453 による以前の電子メール キャンペーンは、ほとんどの場合、学者、研究者、外交官、反体制派、ジャーナリスト、人権活動家を標的としており、最終的に標的の資格情報を収集する前に、メッセージの本文に Web ビーコンを使用していました。 このようなキャンペーンは、実際の攻撃を開始する前に、アクターによって作成されたアカウントに関する何週間にもわたる無害な会話から始まります。
TA453 の斬新なキャンペーンは、医療研究者、航空宇宙エンジニア、不動産業者、旅行代理店などをターゲットにしています。 彼らは、侵害されたアカウント、マルウェア、物議を醸すトピックのおとりなど、TA453 の新しいフィッシング手法を使用します。 新しい手順は、革命防衛隊の情報要件の変化を反映している可能性があります。 この斬新な活動は、革命防衛隊の任務についての理解を深め、TA453 による秘密の「キネティック」作戦への支援の可能性を垣間見ることも専門家に提供します。
予想される行動
Proofpoint は TA453 の約 453 つのサブセットを追跡しており、主に対象者、手法、およびインフラストラクチャによって区別されています。 サブグループに関係なく、TAXNUMX は通常、研究者、政策立案者、外交官、ジャーナリスト、人権擁護者、反体制派、中東の専門知識を持つ研究者を対象としています。
TA453 によって登録された電子メール アカウントは通常、標的とテーマが一致しており、サイバー犯罪者は電子メール キャンペーンで Web ビーコンを使用することを好みます。 TA453 は、ターゲットに接触するために無害な会話に大きく依存しています — Proofpoint は、2022 年に 60 以上のそのようなキャンペーンを観察しました。 TA453 はほとんどの場合、ターゲットの受信トレイにアクセスして電子メールの内容をスパイする目的で、資格情報収集リンクを送信します。 一部のサブグループは、悪意のあるリンクを送信する前に数週間チャットしますが、最初の電子メールで悪意のあるリンクをすぐに送信するサブグループもあります。
新しい方法と対象グループ
Proofpoint の専門家は、TA453 の手順に多くの新奇性があることを観察してきましたが、それらはほとんど世間の注目を集めていませんでした。
侵害されたアカウント
- TA453 のサブセットは、アクターが制御するアカウントを使用する代わりに、侵害されたアカウントを使用して個人を標的にすることがありました。
- このグループは、bnt2[.]live や nco2[.]live などの短縮 URL を使用しており、資格情報を収集するために一般的な TA453 ページにリダイレクトされていました。
- たとえば、2021 年、米国の高官がイランの核合意に関する交渉について公に発言してから約 XNUMX 日後、その高官の報道官は、地元記者の侵害された電子メール アカウントを介して攻撃されました。
マルウェア
- 2021 年の秋、PowerShell のバックドアである GhostEcho (CharmPower) がテヘランのさまざまな外交ミッションに送られました。
- 2021 年の秋を通して、GhostEcho は検出を回避するために進化してきました。これは、難読化とキル チェーンの変更によって証明されています。
- GhostEcho は、Checkpoint Research によって文書化されているように、スパイ活動に焦点を当てたフォローアップ機能を提供するように設計された比較的穏やかな攻撃の第 XNUMX 段階です。
- 配信技術の類似性に基づいて、Proofpoint は、GhostEcho が 2021 年後半に女性の権利活動家にも配信されたと疑っています。
物議を醸す問題でおびき寄せる
- 特に、TA453 は架空のキャラクター、サマンサ ウルフを使用して、標的の不安感と恐怖感を悪用し、標的をだましてサイバー犯罪者の電子メールに応答させるように設計された対立的なソーシャル エンジニアリングのおとりを作成しました。
- サマンサは、自動車事故や一般的な苦情などのトピックをカバーするこれらのルアーを、米国とヨーロッパの政治家や政府機関、中東のエネルギー会社、米国を拠点とする科学者に送りました.
プルーフポイントについて Proofpoint, Inc. は、大手サイバーセキュリティ企業です。 Proofpoint の焦点は、従業員の保護です。 これらは企業にとって最大の資本であると同時に、最大のリスクでもあるからです。 Proofpoint は、クラウドベースのサイバーセキュリティ ソリューションの統合スイートにより、世界中の組織が標的型脅威を阻止し、データを保護し、サイバー攻撃のリスクについて企業の IT ユーザーを教育するのに役立ちます。