Sofisticirana iranska špijunska kampanja cyber napada ponovo je pojačana, ciljajući uticajne osobe kroz pomno kreirane operacije spear-phishinga koje oponašaju glavne pružaoce e-pošte, uključujući Google, Outlook i Yahoo.
Ova kampanja, koja se pripisuje akteru poznatom kao Educated Manticore, predstavlja značajnu eskalaciju iranskih sposobnosti u cyber ratovanju usred povišenih geopolitičkih napetosti na Bliskom istoku.
Irana grupa, koja se također prati pod oznakama APT42, Charming Kitten i Mint Sandstorm, djeluje pod okriljem Obavještajne organizacije Islamske revolucionarne garde (IRGC).
Njihove najnovije operacije pokazuju primjetnu sofisticiranost u tehnikama socijalnog inženjeringa, koristeći fiktivne profile vezane za legitimne institucije, preciznu vremensku koordinaciju i strategije komunikacije putem više kanala za kompromitovanje akreditiva i zaobilaženje sistema višestruke provjere autentičnosti.
Nedavne obavještajne informacije ukazuju da je kampanja proširila opseg ciljanja na vodeće izraelske akademike za računarstvo, istraživače kibernetičke sigurnosti i istaknute novinare koji pokrivaju geopolitička dešavanja.
Analitičari Check Pointa identificirali su preko 100 zlonamjernih domena, posebno dizajniranih da oponašaju legitimne usluge, s posebnim naglaskom na repliciranje interfejsa za provjeru autentičnosti Google-a, Outlook-a i Yahoo-a.
Akteri prijetnje također su kreirali uvjerljive replike platformi za sastanke, poput Google Meeta, kako bi olakšali svoje operacije prikupljanja akreditiva.
Operativna metodologija kampanje otkriva značajan taktički razvoj. Početni vektori kontakta strateški se razlikuju ovisno o profilima ciljeva, koristeći kako tradicionalne e-mail komunikacije, tako i enkriptirane aplikacije za razmjenu poruka poput WhatsAppa.
Nakon uspostavljanja kontakta, žrtve se usmjeravaju na sofisticiranu phishing infrastrukturu koja koristi napredne okvire za web razvoj kako bi kreirala replike legitimnih sučelja za prijavu koje su vizualno identične.
Najzabrinjavajući aspekt ove kampanje leži u dokazanoj sposobnosti Educated Manticorea da zaobiđe moderne sigurnosne kontrole, posebno sisteme višestruke provjere autentičnosti.
Akteri prijetnje koriste sofisticirane tehnike socijalnog inženjeringa koje navode žrtve da dobrovoljno dijele svoje kodove za provjeru autentičnosti tokom procesa phishinga, efektivno neutralizirajući ono što bi trebala biti robusna sigurnosna kontrola.
Vizuelni integritet ovih lažnih stranica za provjeru autentičnosti preusmjerava korisnike na infrastrukturu koju kontrolišu napadači, zadržavajući izgled legitimnih interakcija sa uslugama.
Sposobnosti grupacije u oponašanju proširuju se izvan tehničke infrastrukture, uključujući kreiranje vrlo uvjerljivih profila, pri čemu napadači uspješno preuzimaju identitete zaposlenika srednjeg ranga u velikim izraelskim kompanijama, vladinih službenika iz Ureda premijera i profesionalaca iz etabliranih tehnoloških kompanija.
Ove komunikacije pokazuju gramatičku preciznost i formalnu strukturu, sugerirajući moguću asistenciju umjetne inteligencije u generiranju sadržaja, iako povremene suptilne nedosljednosti, poput manjih grešaka u pisanju imena, ponekad odaju njihovu prevarantsku prirodu.
Kompanija Check Point je putem svoje objave na blogu istakla značajno pojačanje iranske kampanje kibernetičkog špijunaže koja cilja uticajne osobe. Uočeno je da se radi o sofisticiranom spear-phishing napadu koji koristi lažne domene identične onima kod Googlea, Outlooka i Yahooa. Ova upozorenja su objavljena na njihovom blogu, ukazujući na napredne taktike zlonamjernih aktera. Kampanja je primijećena kako cilja ugledne izraelske akademike, istraživače kibernetičke sigurnosti i novinare koji prate geopolitička dešavanja na Bliskom istoku. Procjenjuje se da je kreirano preko 100 lažnih domena koji su vizuelno i funkcionalno imitirali legitimne servise za prijavu, a često su uključivali i replike platformi poput Google Meeta. Metodologija napada uključuje korištenje fiktivnih identiteta, precizno koordinisanje komunikacije putem različitih kanala poput e-pošte i WhatsAppa, te napredne tehnike socijalnog inženjeringa. Cilj napadača je da žrtve uvjere da dobrovoljno unesu svoje akreditive i kodove za višestruku provjeru autentičnosti. Ove akcije, koje izvodi grupa poznata pod imenima Educated Manticore, APT42, Charming Kitten i Mint Sandstorm, a koja je povezana sa Obavještajnom organizacijom IRGC-a, pokazuju značajan napredak u sposobnostima zaobilaženja modernih sigurnosnih mjera. Primjećena je visoka uvjerljivost lažnih stranica za prijavu, koje su zadržale izgled legitimnih servisa kako bi preusmjerile korisnike na servere pod kontrolom napadača. Također su uočeni pokušaji napadača da se lažno predstave kao zaposlenici izraelskih kompanija, vladini zvaničnici i tehnološki stručnjaci, pri čemu su komunikacije često pokazivale gramatičku preciznost, što ukazuje na moguću upotrebu umjetne inteligencije za generisanje sadržaja. Iako su ove komunikacije uglavnom uvjerljive, povremene greške u pisanju imena mogu otkriti prevarantsku prirodu.