Хакерская группа, известная как TA453 или APT42, или "Очаровательный котенок" занимается кибершпионажем по указанию аятоллы Хомейни с 2017 года. Новое исследование Proofpoint документирует недавнюю активность TA453, которая отличается от стандартной деятельности группы с точки зрения как тактики, так и целей. Proofpoint утверждает, что эта нехарактерная деятельность связана именно с операциями Корпуса стражей исламской революции (КСИР), который является лишь одной из фракций в сложном балансе сил, составляющих нынешний Иран.
Судя по тому, что могут сказать исследователи кибербезопасности, TA453 состоит из нескольких подгрупп. Используя различные маркеры, Proofpoint в настоящее время отслеживает примерно шесть подгрупп. Однако, независимо от подгруппы TA453 подвергает фишинговым атакам ученых, исследователей, дипломатов, диссидентов, журналистов и правозащитников. Эти фишинговые атаки обычно принимают форму затяжных разговоров между злоумышленником и целью на безобидные темы. Иногда эти обсуждения продолжаются в течение нескольких недель, прежде чем субъект угрозы отправит ссылку на вредоносную веб-страницу с целью ввести учетные данные для входа. Любые введенные здесь учетные данные попадают в руки TA453, которые группа использует для доступа к учетным записям электронной почты целей и эксфильтрации содержимого электронной почты.
Однако с конца 2020 года Proofpoint наблюдает, как TA453 использует тактику и нацеливается на людей, которые выходят за рамки обычного круга интересов группы. Группа угроз обычно использует учетные записи электронной почты, созданные специально для использования в фишинговых атаках, но в некоторых из недавних атак TA453 использовались скомпрометированные учетные записи электронной почты. Proofpoint также наблюдала, как APT использует несколько учетных записей sock-puppet для участия в разговорах с участием нескольких разных людей.
Некоторые из фишинговых атак TA453 также включали конфронтационные приманки социальной инженерии, что нетипично для этой организации. Вместо обычных доброжелательных дискуссий в группе некоторые жертвы получили расплывчатые сообщения с угрозами или неожиданные электронные письма, в которых их обвиняли в повреждении чьей-то машины. TA453 отправляет многие из этих видов электронных писем с учетных записей, связанных с одной конкретной персоной, известной как "Саманта Вульф".
С 2021 года в некоторые фишинговые электронные письма TA453 добавлялись вложения с вредоносной полезной нагрузкой. Исследователи кибербезопасности обнаружили группу угроз, использующую бэкдор PowerShell, известный как GhostEcho, а также инструмент для извлечения электронной почты под названием HYPERSCRAPE. GhostEcho особенно примечателен тем, что в течение некоторого времени он находился в стадии активной разработки, демонстрируя, что TA453 не только использует вредоносное ПО, но и способна его разрабатывать.
TA453 применила эту нетипичную тактику против множества целей, включая медицинских исследователей, аэрокосмического инженера, риэлтора и туристические агентства. Согласно Proofpoint, эти цели совпадают с операциями проводимыми КСИР.
Нападение на казалось бы случайного риелтора из Флориды имеет смысл в свете того факта, что этот риэлтор был причастен к продаже домов недалеко от штаб-квартиры Центрального командования США (CENTCOM). CENTCOM отвечает за военные операции на Ближнем Востоке, а КСИР работает над предотвращением иностранного вмешательства. Вице-президент по исследованию и обнаружению угроз в Proofpoint Шеррод ДеГриппо заявил, что "все это служит окном для понимания целей Корпуса стражей исламской революции и гибкого мандата, в соответствии с которым работает TA453".