İran ile ilişkilendirilen siber suç grubu TA453, giderek daha fazla yeni saldırı yöntemleri kullanıyor ve agresif bir şekilde yeni hedeflere yöneliyor. Bu, siber güvenlik şirketi Proofpoint tarafından devam eden soruşturmaların ön sonucudur.
2020'nin sonlarından bu yana, Proofpoint araştırmacıları, TA453'ün kimlik avı etkinliğinde (bu, genel olarak "Charming Kitten", "PHOSPHORUS" ve "APT42" olarak bilinen gruplarla örtüşüyor), yeni yöntemler kullanan grupla ve geçmişe göre başka hedefler kullanarak tutarsızlıklar gözlemledi.
APT453 olarak da bilinen TA42
TA453'ün önceki e-posta kampanyaları, nihai olarak hedefin kimlik bilgilerini toplamaya çalışmadan önce, mesajın gövdesindeki web işaretçilerini kullanarak neredeyse her zaman akademisyenleri, araştırmacıları, diplomatları, muhalifleri, gazetecileri ve insan hakları aktivistlerini hedef almıştı. Bu tür kampanyalar, gerçek saldırıyı başlatmadan önce aktörler tarafından oluşturulan hesaplar hakkında haftalarca süren zararsız konuşmalarla başlayabilir.
TA453'ün yeni kampanyaları, diğerlerinin yanı sıra tıbbi araştırmacıları, bir uzay mühendisini, bir emlakçıyı ve seyahat acentelerini hedef alıyor. TA453 için güvenliği ihlal edilmiş hesaplar, kötü amaçlı yazılım ve tartışmalı konu tuzakları dahil olmak üzere yeni kimlik avı teknikleri kullanıyorlar. Yeni prosedürlerin Devrim Muhafızlarının değişen istihbarat gereksinimlerini yansıtması muhtemeldir. Yeni etkinlik aynı zamanda uzmanlara Devrim Muhafızlarının yetkilerini daha iyi anlamalarını ve TA453'ün gizli ve "kinetik" operasyonlar için potansiyel desteğini görmelerini sağlıyor.
Beklenen davranış
Prova noktası, TA453'ün yaklaşık altı alt kümesini takip eder ve temel olarak izleyiciler, teknikler ve altyapı tarafından farklılaştırılır. Alt grup ne olursa olsun, TA453 genellikle Ortadoğu'da uzmanlığa sahip akademisyenler, politika yapıcılar, diplomatlar, gazeteciler, insan hakları savunucuları, muhalifler ve araştırmacıları hedefler.
TA453 tarafından kaydedilen e-posta hesapları, hedefleriyle tematik olarak tutarlı olma eğilimindedir ve siber suçlular, e-posta kampanyalarında web işaretçilerini kullanmayı tercih eder. TA453, hedeflerle iletişim kurmak için büyük ölçüde zararsız konuşmalara dayanır - Proofpoint, 2022'de bu tür 60'tan fazla kampanya gözlemledi. TA453, hedefin gelen kutusuna erişim elde etmek ve e-posta içeriğini gözetlemek amacıyla neredeyse her zaman kimlik bilgisi toplama bağlantıları gönderir. Bazı alt gruplar, kötü amaçlı bağlantıları göndermeden önce haftalarca sohbet ederken, diğerleri kötü niyetli bağlantıyı ilk e-postada hemen gönderir.
Yeni yöntemler ve hedef gruplar
Proofpoint uzmanları, TA453'ün prosedürlerinde, varsa bile çok az kamuoyunun dikkatini çeken bir dizi yenilik gözlemledi:
Ele Geçirilmiş Hesaplar
- Zaman zaman, TA453'ün bir alt kümesi, aktörlerin kontrolündeki hesapları kullanmak yerine bireyleri hedeflemek için güvenliği ihlal edilmiş hesaplar kullandı.
- Bu grup, kimlik bilgilerini toplamak için tipik TA2 sayfalarına yönlendiren bnt2[.]live ve nco453[.]live gibi URL kısaltıcıları kullandı.
- Örneğin 2021'de, bir ABD'li yetkilinin İran nükleer anlaşmasıyla ilgili müzakereler hakkında alenen konuşmasından yaklaşık beş gün sonra, yetkilinin basın sekreteri, yerel bir muhabire ait güvenliği ihlal edilmiş bir e-posta hesabı aracılığıyla saldırıya uğradı.
Malware
- 2021 sonbaharında, bir PowerShell arka kapısı olan GhostEcho (CharmPower), Tahran'daki çeşitli diplomatik misyonlara gönderildi.
- 2021 Sonbaharı boyunca GhostEcho, karartma ve öldürme zincirindeki değişikliklerin kanıtladığı gibi, tespit edilmekten kaçınmak için evrim geçirdi.
- GhostEcho, Checkpoint Research tarafından belgelendiği gibi, casusluk odaklı takip yetenekleri sağlamak için tasarlanmış saldırının nispeten hafif bir ilk aşamasıdır.
- İletim tekniklerindeki benzerliklere dayanarak Proofpoint, GhostEcho'nun 2021'in sonlarında kadın hakları aktivistlerine de teslim edildiğinden şüpheleniyor.
Tartışmalı konuların cazibesine kapılmak
- Özellikle, TA453, siber suçlunun e-postalarına yanıt vermeleri için onları kandırmak amacıyla hedeflerin güvensizlik ve korku duygularından yararlanmak üzere tasarlanmış çatışmacı sosyal mühendislik tuzakları için kurgusal bir karakter olan Samantha Wolf'u kullandı.
- Samantha, araba kazaları ve yaygın şikayetler gibi konuları kapsayan bu yemleri ABD'li ve Avrupalı politikacılara ve devlet kurumlarına, bir Orta Doğu enerji şirketine ve ABD merkezli bir bilim adamına gönderdi.
Prova Noktası Hakkında Proofpoint, Inc. önde gelen bir siber güvenlik şirketidir. Proofpoint'in odak noktası, çalışanların korunmasıdır. Çünkü bunlar bir şirket için en büyük sermaye, aynı zamanda en büyük risk anlamına gelir. Entegre bir bulut tabanlı siber güvenlik çözümleri paketiyle Proofpoint, dünyanın dört bir yanındaki kuruluşların hedeflenen tehditleri durdurmasına, verilerini korumasına ve kurumsal BT kullanıcılarını siber saldırı riskleri konusunda eğitmesine yardımcı olur.