Експерти з кібербезпеки Proofpoint оприлюднили розслідування хакерської групи TA453 під керівництвом Ірану, також відомої як Charming Kitten, PHOSPHORUS і APT42.
Нещодавно група почала націлюватися на людей, які спеціалізуються на питаннях Близького Сходу, ядерної безпеки та генетичних досліджень. Кожна з їхніх останніх помічених атак електронною поштою використовувала кілька підроблених ідентифікацій. Для цього TA453 використав особистості реальних людей, які працюють у західних дослідницьких установах зовнішньої політики. Атаки також використовують нову тактику соціальної інженерії для збирання розвідувальних даних від імені Корпусу вартових Ісламської революції Ірану.
Основні висновки розслідування
Кампанії TA453 показали, що група використовує кілька ідентифікацій у своїх фішингових атаках, щоб використовувати психологічний принцип соціального доказу. Зокрема, це має підвищити передбачувану автентичність листування.
Особи, скомпрометовані TA453, включають реальних людей, які працюють у Дослідницькому центрі PEW, Дослідницькому інституті зовнішньої політики (FRPI), Chatham House у Великобританії та науковому журналі Nature. Цю тактику використовували для нападу на людей з інформацією про Державу Ізраїль, країни Перської затоки, Декларацію угод Авраама та контроль над ядерною зброєю у зв’язку з можливим конфліктом між США та Росією. Експерти з безпеки Proofpoint вважають, що TA453 працює на підтримку кампаній кібершпигунства Корпусу вартових ісламської революції (КВІР), спрямованих на викрадення конфіденційних даних та інформації.
Коментар від Proofpoint
«Спонсоровані урядом групи хакерів є одними з найкращих у створенні добре продуманих кампаній соціальної інженерії, щоб заманити жертв у пастки. У цьому випадку наші спеціалісти виявили, що афілійована з Іраном група TA453 розширила свою діяльність, використовуючи відразу кілька підроблених ідентифікацій — група використовує соціальні докази, щоб переконати ціль у справжності запиту. Це інтригуюча техніка, оскільки вона вимагає більших ресурсів на ціль — потенційно «спалювання» кількох ідентифікацій — і скоординованого підходу між різними ідентифікаціями, які використовує TA453».
«Дослідники, які працюють у сфері міжнародних відносин, особливо ті, що спеціалізуються на Близькому Сході або дослідженнях ядерної безпеки, повинні проявляти підвищений рівень пильності, коли вони отримують небажану електронну пошту. Наприклад, професіонали, з якими зв’язуються журналісти, повинні перевірити веб-сайт видання, щоб визначити, чи адреса електронної пошти належить справжньому репортеру», – сказав Шеррод ДеГріппо, віце-президент із дослідження та виявлення загроз у Proofpoint.
Більше на ProofPoint.com
Про Proofpoint Proofpoint, Inc. є провідною компанією з кібербезпеки. У центрі уваги Proofpoint – захист працівників. Оскільки це означає найбільший капітал для компанії, але також і найбільший ризик. Завдяки інтегрованому пакету хмарних рішень кібербезпеки Proofpoint допомагає організаціям у всьому світі зупиняти цілеспрямовані загрози, захищати їхні дані та навчати корпоративних ІТ-користувачів про ризики кібератак.