Nacionalni centar za kibernetičku sigurnost Ujedinjenog Kraljevstva (NCSC) upozorio je u četvrtak na napade krađe identiteta koje su pokrenuli ruski i iranski državni akteri radi operacija prikupljanja informacija.
“Napadi nisu usmjereni na širu javnost, već na određene sektore, uključujući akademiju, odbranu, vladine organizacije, nevladine organizacije, think tank-ove, kao i političare, novinare i aktiviste,” navodi NCSC.
Agencija je upade pripisala SEABORGIUM-u (aka Callisto, COLDRIVER i TA446) i APT42 (aka ITG18, TA453 i Yellow Garuda). Osim sličnosti u modusu operandi, nema dokaza da dvije grupe međusobno sarađuju.
Aktivnost je tipična za phishing kampanje, gdje akteri prijetnji šalju poruke prilagođene ciljevima, a istovremeno uzimaju dovoljno vremena da istraže svoja interesovanja i identifikuju svoje društvene i profesionalne krugove.
Inicijalni kontakt je osmišljen tako da izgleda bezazleno u pokušaju da zadobije njihovo povjerenje i može trajati sedmicama prije nego što se pređe na fazu eksploatacije. Ovo ima oblik malicioznih veza koje mogu dovesti do krađe kredencijala i daljeg kompromitovanja, uključujući eksfiltraciju podataka.
Kako bi održali prevaru, kaže se da su protivničke ekipe kreirale lažne profile na platformama društvenih medija kako bi se lažno predstavljale za stručnjake na terenu i novinare i tako prevarili žrtve da otvore veze.
Ukradeni kredencijali se zatim koriste za prijavu na naloge email-a meta i pristup osjetljivim informacijama, uz postavljanje pravila za prosljeđivanje email-a kako bi se održala stalna vidljivost prepiske žrtve.
Grupa SEABORGIUM koju sponzoriše Rusija ima istoriju uspostavljanja lažnih stranica za prijavu koje oponašaju legitimne odbrambene kompanije i laboratorije za nuklearna istraživanja kako bi izvukla svoje napade prikupljanja kredencijala.
Za APT42, koji djeluje kao špijunska ruka iranske Islamske revolucionarne garde (IRGC), kaže se da se preklapa s PHOSPHORUS-om i dio je veće grupe praćene kao Charming Kitten.
Poznato je da se akter prijetnje, poput SEABORGIUM-a, maskira u novinare , istraživačke institute i trust-ove mozgova kako bi se bavio svojim ciljevima koristeći stalno promjenljiv arsenal alata i taktika kako bi se prilagodili prioritetima IRGC-a koji se razvijaju.
Firma za sigurnost preduzeća Proofpoint je u decembru 2022. godine otkrila da grupa “upotrebljava kompromitovane račune, maliciozni softver i mamce za konfrontaciju kako bi krenula na mete s nizom pozadina, od medicinskih istraživača preko posrednika u prometu nekretninama do turističkih agencija”, nazvavši to odstupanjem od “očekivane phishing aktivnost.”
Nadalje, značajan aspekt ovih kampanja je korištenje ličnih adresa email-a meta, vjerovatno kao sredstvo za zaobilaženje sigurnosnih kontrola postavljenih na korporativnim mrežama.
“Ove kampanje aktera prijetnji sa sjedištem u Rusiji i Iranu nastavljaju nemilosrdno slijediti svoje ciljeve u pokušaju da ukradu internetske kredencijale i ugroze potencijalno osjetljive sisteme”, rekao je Paul Chichester, direktor operacija NCSC-a.
Izvor: The Hacker News