Waarom Iraanse hackoperaties een bedreiging kunnen vormen voor uw netwerk Nu bekijken
Iraanse hackers vermomden zich 18 maanden lang als aerobicsinstructeur in een cyberspionagecampagne die was ontworpen om werknemers en aannemers die in defensie en ruimtevaart werken te infecteren met malware om gebruikersnamen te stelen , wachtwoorden en andere informatie die misbruikt zou kunnen worden.
Actief sinds ten minste 2019, gebruikte de campagne Facebook, Instagram en e-mail om zich voor te doen als de valse persona “Marcella Flores”. De aanvallers konden maanden besteden aan het opbouwen van een verstandhouding met doelen via berichten en e-mails voordat ze probeerden malware te verspreiden nadat het vertrouwen was gewonnen.
De campagne is gedetailleerd door cybersecurity-onderzoekers van Proofpoint, die deze hebben gekoppeld aan TA456 – ook bekend als Tortoiseshell – een door de staat gesteunde Iraanse hackgroep die banden heeft met de Islamitische Revolutionaire Garde (IRGC), een tak van het Iraanse leger.
De manier waarop een nep-profiel op sociale media zo lang werd gebruikt, toont de hoeveelheid inspanning en volharding die degenen achter de spionagecampagne hebben geleverd in een poging om personen van belang te targeten, voornamelijk mensen die voor Amerikaanse defensie-aannemers werken , met name degenen die betrokken zijn bij het ondersteunen van operaties in het Midden-Oosten.
Marcella's openbare Facebook-profiel beweerde dat ze een aerobics-instructeur was in Liverpool, Engeland – en haar vriendenlijst bevatte verschillende mensen die zich op hun profielen identificeerden als defensie-aannemers.
De aanvallers achter de nep-persona gebruikten e-mail, sociale-mediaprofielen, foto's en zelfs flirterige berichten om de indruk te wekken dat ze een echt persoon was terwijl ze in contact stond met de doelwitten.
Na een periode van berichten heen en weer met het doelwit, gebruikten de aanvallers een Gmail-account dat was ingesteld als persona om een OneDrive-link met een document of een videobestand naar het slachtoffer te sturen. Het is dit lokaas dat werd gebruikt om malware naar het slachtoffer te verspreiden – een bijgewerkte versie van Lideric-malware die onderzoekers Lempo hebben genoemd.
Deze malware zorgt in het geheim voor persistentie op de Windows-computer van het slachtoffer, waardoor de aanvallers gevoelige informatie kunnen zoeken en stelen, waaronder gebruikersnamen en wachtwoorden, die vervolgens naar de achterkant worden gestuurd naar degenen die de operatie uitvoeren. Proofpoint zei dat het vanwege de specifieke targeting van slachtoffers niet mogelijk was om te zeggen of die aanvallen succesvol waren.
ZIE: Cyberbeveiliging: laten we het tactisch aanpakken (speciale functie ZDNet/TechRepublic) | Download de gratis pdf-versie (TechRepublic)
De gestolen gebruikersnamen en wachtwoorden kunnen de aanvallers helpen bij het uitvoeren van verdere spionagecampagnes. Het is waarschijnlijk dat defensie-aannemers het doelwit waren, omdat het stelen van hun inloggegevens de aanvallers de middelen zou kunnen geven om verder in de toeleveringsketen te komen en toegang te krijgen tot de netwerken van defensie- en ruimtevaartbedrijven.
Gestolen wachtwoorden kunnen worden misbruikt om op afstand toegang te krijgen tot VPN's en externe software, of gecompromitteerde inloggegevens kunnen worden gebruikt om verdere phishing-aanvallen uit te voeren.
“De door Lempo verzamelde informatie kan op verschillende manieren worden geoperationaliseerd, waaronder het gebruik van gestolen VPN-inloggegevens, misbruik van kwetsbaarheden in de geïdentificeerde software of het aanpassen van vervolgmalware die moet worden geleverd”, aldus Sherrod DeGrippo, senior director of threat. onderzoek en detectie bij Proofpoint vertelde ZDNet.
Door de Iraanse staat gesteunde hack- en cyberspionagegroepen hebben zich eerder beziggehouden met dit soort social engineering, waarbij ze valse sociale-mediaprofielen van vrouwen gebruikten om individuen ertoe te verleiden malware te downloaden. Net als andere bekende Iraanse spionagecampagnes, is deze gericht op de defensie-industrie en met name bedrijven die ondersteuning bieden aan militaire operaties in het Midden-Oosten. Dit alles heeft ertoe geleid dat Proofpoint de campagne heeft toegeschreven aan de aan de Iraanse staat gelieerde hackgroep TA456.
Facebook sloot het profiel van Marcella in juli af nadat het had vastgesteld dat het en andere accounts namens Tortoiseshell aan cyberspionageoperaties werkten. Facebook heeft de malware die in de campagnes is gebruikt, gekoppeld aan een Iraans IT-bedrijf met links naar de IRGC.
De aanvallers achter de persona van Marcella Flores hebben het account minstens 18 maanden gebruikt en gebruikt voor social engineering. De toewijding aan het creëren en onderhouden van deze valse persona's, compleet met de praktische inspanning die aanvallers nodig hebben om te communiceren met potentiële slachtoffers, betekent dat het onwaarschijnlijk is dat dit de laatste keer is dat aan IRGC gelieerde spionage- en malwaredistributiecampagnes deze tactieken zullen gebruiken.
“TA456's jarenlange toewijding aan significante social engineering, goedaardige verkenning van doelen voorafgaand aan de implementatie van malware, en hun cross-platform kill chain maken hen tot een zeer vindingrijke bedreigingsacteur en betekent dat ze succes moeten ervaren bij het verkrijgen van informatie die voldoet aan hun operationele doelen, ” zei DeGrippo.
De operatie Marcella Flores en andere spionagecampagnes die vanuit Iran opereren, laten zien hoe effectief social engineering kan zijn als onderdeel van kwaadaardige hackcampagnes – en hoe belangrijk het is om bewust te zijn van wat je deelt op openbare sociale media mediaprofielen.
“Het is vooral belangrijk voor degenen die werken binnen of zijdelings aan de defensie-industriële basis om waakzaam te zijn bij het omgaan met onbekende personen, ongeacht of het via werk of persoonlijke accounts is”, zei DeGrippo.
“Schadelijke actoren zullen dat doen maken vaak gebruik van openbaar beschikbare informatie over een doelwit om een beeld op te bouwen van hun rol, connecties, toegang tot informatie en kwetsbaarheid voor aanvallen – 'te veel delen' op sociale media is bijzonder riskant gedrag in gevoelige sectoren, dus organisaties moeten ervoor zorgen dat werknemers zijn goed en vaak getraind in beveiligingsbewustzijn”, voegde ze eraan toe.
LEES MEER OVER CYBERVEILIGHEID
Deze Iraanse hackers deden zich voor als academici in een poging e-mailwachtwoorden te stelenVrees voor cyberoorlogsvoering zorgen voor nog meer veiligheidsproblemen bij bedrijven Facebook zegt dat het in Iran gevestigde hackers heeft verstoord die zich richtten op de VSSchijfwissende malware, phishing en spionage: hoe de cyberaanvalcapaciteiten van Iran toenemenMicrosoft Office 365 wordt de kern van velen ondernemingen. En hackers hebben opgemerkt
gerelateerde onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 