Hacker, die mit der iranischen Regierung in Verbindung stehen, haben es im Rahmen einer neuen Social-Engineering-Kampagne auf Personen abgesehen, die auf Angelegenheiten des Nahen Ostens, nukleare Sicherheit und Genomforschung spezialisiert sind, um an sensible Informationen zu gelangen.
Das Sicherheitsunternehmen schreibt die gezielten Angriffe einem Bedrohungsakteur namens TA453 zu, der sich weitgehend mit den Cyberaktivitäten überschneidet, die unter den Namen APT42, Charming Kitten und Phosphorus beobachtet werden.
Alles beginnt mit einer Phishing-E-Mail, die sich als legitime Mitarbeiter westlicher außenpolitischer Forschungsorganisationen ausgibt, um im Namen des Korps der Islamischen Revolutionsgarden (IRGC) Informationen zu sammeln.
Zu den gefälschten Personen gehören Mitarbeiter des Pew Research Center, des Foreign Policy Research Institute (FRPI), des britischen Chatham House und der wissenschaftlichen Zeitschrift Nature. Die Technik soll Mitte Juni 2022 zum Einsatz gekommen sein.
Was sich von anderen Phishing-Angriffen unterscheidet, ist die Verwendung einer Taktik, die Proofpoint Multi-Persona Impersonation (MPI) nennt, bei der der Bedrohungsakteur nicht nur eine, sondern mehrere von ihm kontrollierte Personas in derselben E-Mail-Konversation einsetzt, um die Erfolgschancen zu erhöhen.
Die Idee dahinter ist, das psychologische Prinzip des Social Proofs zu nutzen und die Authentizität der Korrespondenz des Bedrohungsakteurs zu erhöhen, um die Zielperson dazu zu bringen, dem Betrug zuzustimmen – eine Taktik, die zeigt, dass der Gegner immer besser wird.
„Dies ist eine faszinierende Technik, weil sie mehr Ressourcen pro Ziel erfordert – möglicherweise mehr Personas – und einen koordinierten Ansatz zwischen den verschiedenen Persönlichkeiten, die TA453 einsetzt“, sagte Sherrod DeGrippo, Vice President of Threat Research and Detection bei Proofpoint, in einer Stellungnahme.
Sobald die erste E-Mail von der Zielperson beantwortet wurde, sendet die Persona eine weitere Nachricht mit einem bösartigen OneDrive-Link, der ein Microsoft Office-Dokument herunterlädt, das angeblich auf einen Konflikt zwischen Russland und den USA anspielt.
Dieses Dokument nutzt dann eine Technik namens Remote Template Injection, um Korg herunterzuladen, eine Vorlage, die aus drei Makros besteht, die in der Lage sind, Benutzernamen, eine Liste der laufenden Prozesse und die öffentlichen IP-Adressen der Opfer zu sammeln.
Abgesehen von der Exfiltration der Beaconing-Informationen wurden keine weiteren Aktionen nach der Ausbeutung beobachtet. Das „abnormale“ Fehlen von Code-Ausführung und Command-and-Control-Verhalten hat zu der Einschätzung geführt, dass die kompromittierten Nutzer möglicherweise weiteren Angriffen ausgesetzt sind, die auf der installierten Software basieren.
Dies ist nicht das erste Mal, dass der Bedrohungsakteur eine Imitationskampagne durchführt. Im Juli 2021 deckte Proofpoint eine Phishing-Aktion mit dem Namen „SpoofedScholars“ auf, die unter dem Deckmantel von Wissenschaftlern der School of Oriental and African Studies (SOAS) der Universität London auf Personen abzielte, die sich mit dem Nahen Osten in den USA und Großbritannien beschäftigen.
Im Juli 2022 deckte das Cybersecurity-Unternehmen Versuche von TA453 auf, sich als Journalisten auszugeben, um Akademiker und Politikexperten dazu zu verleiten, auf bösartige Links zu klicken, die die Zielpersonen auf Domains zum Sammeln von Zugangsdaten umleiten.
Die Enthüllung erfolgt inmitten einer Flut von Cyber-Aktivitäten mit iranischen Verbindungen. Letzte Woche hat Microsoft eine Reihe von Ransomware-Angriffen einer Phosphorus-Untergruppe mit dem Namen DEV-0270 aufgedeckt, bei denen Binärdateien wie BitLocker zum Einsatz kamen.
Außerdem hat das Cybersecurity-Unternehmen Mandiant, das jetzt offiziell zu Google Cloud gehört, die Aktivitäten eines iranischen Spionageakteurs mit dem Codenamen APT42 aufgedeckt, der seit 2015 mit über 30 Operationen in Verbindung gebracht wurde.
Zu allem Überfluss kündigte das Finanzministerium Sanktionen gegen das iranische Ministerium für Geheimdienst und Sicherheit (MOIS) und seinen Geheimdienstminister Esmaeil Khatib an, als Reaktion auf „cybergestützte Aktivitäten gegen die Vereinigten Staaten und ihre Verbündeten“.
Albanien, das die diplomatischen Beziehungen zum Iran abgebrochen hat, nachdem es den Iran für eine Reihe von Cyberangriffen seit Juli verantwortlich gemacht hatte, beschuldigte am Wochenende „dieselben Aggressoren“ für einen weiteren Angriff auf ein Regierungssystem, das zur Überwachung von Grenzübertritten verwendet wird.
„Staatliche Bedrohungsakteure gehören zu den Besten, wenn es darum geht, gut durchdachte Social-Engineering-Kampagnen zu entwickeln, um ihre Opfer zu erreichen“, sagte DeGrippo.
„Forscherinnen und Forscher, die sich mit internationaler Sicherheit befassen, vor allem solche, die sich auf den Nahen Osten oder nukleare Sicherheit spezialisiert haben, sollten beim Empfang von unaufgeforderten E-Mails besonders aufmerksam sein.