Кіберзлочинне угруповання TA453, пов’язане з Іраном, все частіше використовує нові методи атак і агресивно атакує нові цілі. Це попередні результати розслідувань, які проводяться компанією з кібербезпеки Proofpoint.
З кінця 2020 року дослідники Proofpoint спостерігали розбіжності у фішинговій активності TA453 (яка збігається з групами, загальновідомими як «Чарівне кошеня», «PHOSPHORUS» і «APT42»), причому група використовує нові методи та інші цілі, ніж у минулому.
TA453 також відомий як APT42
Попередні кампанії електронної пошти TA453 майже завжди були націлені на вчених, дослідників, дипломатів, дисидентів, журналістів і правозахисників, використовуючи веб-маяки в тілі повідомлення, перш ніж остаточно спробувати зібрати облікові дані цілі. Такі кампанії можуть починатися з тижнів нешкідливих розмов про облікові записи, створені акторами, перш ніж почати фактичну атаку.
Нові кампанії TA453 націлені, зокрема, на медичних дослідників, аерокосмічного інженера, агента з нерухомості та туристичних агентів. Вони використовують нові методи фішингу для TA453, зокрема скомпрометовані облікові записи, зловмисне програмне забезпечення та суперечливі теми. Цілком ймовірно, що нові процедури відображають зміну вимог Революційної гвардії до розвідки. Нова діяльність також дає експертам краще розуміння мандату Вартових революції та уявлення про потенційну підтримку TA453 для таємних і «кінетичних» операцій.
Очікувана поведінка
Proofpoint відстежує приблизно шість підмножин TA453, в основному диференційованих за аудиторією, технікою та інфраструктурою. Незалежно від підгрупи, TA453 зазвичай орієнтований на науковців, політиків, дипломатів, журналістів, правозахисників, дисидентів і дослідників, які мають досвід роботи на Близькому Сході.
Облікові записи електронної пошти, зареєстровані TA453, як правило, тематично відповідають їхнім цілям, а кіберзлочинці вважають за краще використовувати веб-маяки у своїх кампаніях електронної пошти. TA453 значною мірою покладається на нешкідливі розмови для контакту з цілями — Proofpoint спостерігав понад 2022 таких кампаній у 60 році. TA453 майже завжди надсилає посилання для збору облікових даних з наміром отримати доступ до папки "Вхідні" цільової скриньки та стежити за вмістом електронної пошти. Деякі підгрупи спілкуються в чаті тижнями, перш ніж розіслати зловмисні посилання, тоді як інші відразу надсилають зловмисне посилання в першому електронному листі.
Нові методи та цільові групи
Експерти Proofpoint помітили низку нововведень у процедурах TA453, які привернули мало уваги громадськості, якщо взагалі привернули її увагу:
Зламані облікові записи
- Іноді підмножина TA453 використовувала скомпрометовані облікові записи для націлювання на окремих осіб замість використання облікових записів, контрольованих акторами.
- Ця група використовувала засоби скорочення URL-адрес, такі як bnt2[.]live і nco2[.]live, які перенаправляли на типові сторінки TA453 для збору облікових даних.
- Наприклад, у 2021 році, приблизно через п’ять днів після того, як чиновник США публічно розповів про переговори щодо ядерної угоди з Іраном, прес-секретар чиновника зазнав атаки через зламаний обліковий запис електронної пошти, що належить місцевому репортеру.
Malware
- Восени 2021 року GhostEcho (CharmPower), бекдор PowerShell, було надіслано до різних дипломатичних місій у Тегерані.
- Протягом осені 2021 року GhostEcho розвивався, щоб уникнути виявлення, про що свідчать зміни в обфускації та ланцюжку знищення.
- GhostEcho — це відносно помірна перша стадія атаки, призначена для надання подальших здібностей, орієнтованих на шпигунство, як задокументовано Checkpoint Research.
- Грунтуючись на подібності методів доставки, Proofpoint підозрює, що GhostEcho також було доставлено активістам за права жінок наприкінці 2021 року.
Приманка спірними питаннями
- Примітно, що TA453 використовував вигаданого персонажа, Саманту Вулф, для конфронтаційних приманок соціальної інженерії, призначених для використання почуття незахищеності та страху цілей, щоб обманом змусити їх відповісти на електронні листи кіберзлочинців.
- Саманта надіслала ці приманки, які охоплюють такі теми, як автомобільні аварії та загальні скарги, американським і європейським політикам і державним установам, близькосхідній енергетичній компанії та американському вченому.
Про Proofpoint Proofpoint, Inc. є провідною компанією з кібербезпеки. У центрі уваги Proofpoint – захист працівників. Оскільки це означає найбільший капітал для компанії, але також і найбільший ризик. Завдяки інтегрованому пакету хмарних рішень кібербезпеки Proofpoint допомагає організаціям у всьому світі зупиняти цілеспрямовані загрози, захищати їхні дані та навчати корпоративних ІТ-користувачів про ризики кібератак.