Платим блогерам
Блоги
Niko4123
Некоторые из фишинговых атак хакерской группы включали конфронтационные приманки социальной инженерии, что нетипично для этой организации.

Хакерская группа, известная как TA453 или APT42, или "Очаровательный котенок" занимается кибершпионажем по указанию аятоллы Хомейни с 2017 года. Новое исследование Proofpoint документирует недавнюю активность TA453, которая отличается от стандартной деятельности группы с точки зрения как тактики, так и целей. Proofpoint утверждает, что эта нехарактерная деятельность связана именно с операциями Корпуса стражей исламской революции (КСИР), который является лишь одной из фракций в сложном балансе сил, составляющих нынешний Иран.

Судя по тому, что могут сказать исследователи кибербезопасности, TA453 состоит из нескольких подгрупп. Используя различные маркеры, Proofpoint в настоящее время отслеживает примерно шесть подгрупп. Однако, независимо от подгруппы TA453 подвергает фишинговым атакам ученых, исследователей, дипломатов, диссидентов, журналистов и правозащитников. Эти фишинговые атаки обычно принимают форму затяжных разговоров между злоумышленником и целью на безобидные темы. Иногда эти обсуждения продолжаются в течение нескольких недель, прежде чем субъект угрозы отправит ссылку на вредоносную веб-страницу с целью ввести учетные данные для входа. Любые введенные здесь учетные данные попадают в руки TA453, которые группа использует для доступа к учетным записям электронной почты целей и эксфильтрации содержимого электронной почты.

Однако с конца 2020 года Proofpoint наблюдает, как TA453 использует тактику и нацеливается на людей, которые выходят за рамки обычного круга интересов группы. Группа угроз обычно использует учетные записи электронной почты, созданные специально для использования в фишинговых атаках, но в некоторых из недавних атак TA453 использовались скомпрометированные учетные записи электронной почты. Proofpoint также наблюдала, как APT использует несколько учетных записей sock-puppet для участия в разговорах с участием нескольких разных людей.

Некоторые из фишинговых атак TA453 также включали конфронтационные приманки социальной инженерии, что нетипично для этой организации. Вместо обычных доброжелательных дискуссий в группе некоторые жертвы получили расплывчатые сообщения с угрозами или неожиданные электронные письма, в которых их обвиняли в повреждении чьей-то машины. TA453 отправляет многие из этих видов электронных писем с учетных записей, связанных с одной конкретной персоной, известной как "Саманта Вульф".

С 2021 года в некоторые фишинговые электронные письма TA453 добавлялись вложения с вредоносной полезной нагрузкой. Исследователи кибербезопасности обнаружили группу угроз, использующую бэкдор PowerShell, известный как GhostEcho, а также инструмент для извлечения электронной почты под названием HYPERSCRAPE. GhostEcho особенно примечателен тем, что в течение некоторого времени он находился в стадии активной разработки, демонстрируя, что TA453 не только использует вредоносное ПО, но и способна его разрабатывать.

TA453 применила эту нетипичную тактику против множества целей, включая медицинских исследователей, аэрокосмического инженера, риэлтора и туристические агентства. Согласно Proofpoint, эти цели совпадают с операциями проводимыми КСИР.

Нападение на казалось бы случайного риелтора из Флориды имеет смысл в свете того факта, что этот риэлтор был причастен к продаже домов недалеко от штаб-квартиры Центрального командования США (CENTCOM). CENTCOM отвечает за военные операции на Ближнем Востоке, а КСИР работает над предотвращением иностранного вмешательства. Вице-президент по исследованию и обнаружению угроз в Proofpoint Шеррод ДеГриппо заявил, что "все это служит окном для понимания целей Корпуса стражей исламской революции и гибкого мандата, в соответствии с которым работает TA453".

+
Написать комментарий (0)

Популярные новости

Популярные статьи

Сейчас обсуждают