O grupo criminoso cibernético TA453, associado ao Irã, está usando cada vez mais novos métodos de ataque e abordando novos alvos de forma agressiva. Este é o resultado preliminar das investigações em andamento da empresa de segurança cibernética Proofpoint.
Desde o final de 2020, os pesquisadores da Proofpoint observaram discrepâncias na atividade de phishing do TA453 (que se sobrepõe a grupos conhecidos publicamente como "Charming Kitten", "PHOSPHORUS" e "APT42"), com o grupo usando novos métodos e outros alvos do que no passado.
TA453 também conhecido como APT42
Campanhas de e-mail anteriores do TA453 quase sempre tiveram como alvo acadêmicos, pesquisadores, diplomatas, dissidentes, jornalistas e ativistas de direitos humanos, usando web beacons no corpo da mensagem antes de tentar coletar as credenciais do alvo. Essas campanhas podem começar com semanas de conversas inofensivas sobre contas criadas pelos atores antes de lançar o ataque real.
As novas campanhas do TA453 visam pesquisadores médicos, um engenheiro aeroespacial, um agente imobiliário e agentes de viagens, entre outros. Eles usam novas técnicas de phishing para o TA453, incluindo contas comprometidas, malware e iscas de tópicos controversos. É provável que os novos procedimentos reflitam as mudanças nos requisitos de inteligência da Guarda Revolucionária. A nova atividade também fornece aos especialistas uma melhor compreensão do mandato da Guarda Revolucionária e um vislumbre do suporte potencial do TA453 para operações secretas e "cinéticas".
Comportamento esperado
O Proofpoint rastreia cerca de seis subconjuntos de TA453, diferenciados principalmente por públicos, técnicas e infraestrutura. Independentemente do subgrupo, o TA453 é normalmente destinado a acadêmicos, formuladores de políticas, diplomatas, jornalistas, defensores dos direitos humanos, dissidentes e pesquisadores com experiência no Oriente Médio.
As contas de e-mail registradas pelo TA453 tendem a ser tematicamente consistentes com seus alvos, e os cibercriminosos preferem usar web beacons em suas campanhas de e-mail. O TA453 depende fortemente de conversas inócuas para contatar os alvos — a Proofpoint observou mais de 2022 dessas campanhas em 60. O TA453 quase sempre envia links de coleta de credenciais com a intenção de obter acesso à caixa de entrada do alvo e espionar o conteúdo do e-mail. Alguns subgrupos conversam por semanas antes de enviar os links maliciosos, enquanto outros enviam imediatamente o link malicioso no primeiro e-mail.
Novos métodos e grupos-alvo
Os especialistas da Proofpoint observaram uma série de novidades nos procedimentos do TA453 que receberam pouca ou nenhuma atenção do público:
Contas comprometidas
- Às vezes, um subconjunto de TA453 usava contas comprometidas para atingir indivíduos em vez de usar contas controladas por atores.
- Esse grupo usava encurtadores de URL como bnt2[.]live e nco2[.]live, que redirecionavam para páginas típicas do TA453 para coletar credenciais.
- Por exemplo, em 2021, cerca de cinco dias depois que um funcionário dos EUA falou publicamente sobre as negociações do acordo nuclear com o Irã, o secretário de imprensa do funcionário foi atacado por meio de uma conta de e-mail comprometida pertencente a um repórter local.
malwares
- No outono de 2021, GhostEcho (CharmPower), um backdoor do PowerShell, foi enviado para várias missões diplomáticas em Teerã.
- Ao longo do outono de 2021, o GhostEcho evoluiu para evitar a detecção, conforme evidenciado por mudanças na ofuscação e na cadeia de mortes.
- O GhostEcho é um primeiro estágio relativamente leve do ataque, projetado para fornecer habilidades de acompanhamento focadas em espionagem, conforme documentado pela Checkpoint Research.
- Com base nas semelhanças nas técnicas de entrega, a Proofpoint suspeita que o GhostEcho também foi entregue a ativistas dos direitos das mulheres no final de 2021.
Atração com questões polêmicas
- Notavelmente, o TA453 usou um personagem fictício, Samantha Wolf, para chamarizes de engenharia social de confronto projetados para explorar a sensação de insegurança e medo dos alvos, a fim de induzi-los a responder aos e-mails do cibercriminoso.
- Samantha enviou essas iscas, que cobrem tópicos como acidentes de carro e queixas comuns, para políticos e agências governamentais dos EUA e da Europa, uma empresa de energia do Oriente Médio e um cientista baseado nos EUA.
Sobre o Proofpoint A Proofpoint, Inc. é uma empresa líder em cibersegurança. O foco da Proofpoint é a proteção dos funcionários. Porque estes representam o maior capital para uma empresa, mas também o maior risco. Com um conjunto integrado de soluções de segurança cibernética baseadas em nuvem, a Proofpoint ajuda organizações em todo o mundo a interromper ameaças direcionadas, proteger seus dados e educar os usuários corporativos de TI sobre os riscos de ataques cibernéticos.