Warum iranische Hackerangriffe eine Bedrohung für Ihr Netzwerk darstellen könnten Jetzt ansehen
Iranische Hacker haben sich 18 Monate lang als Aerobic-Trainer in einer Cyber-Spionage-Kampagne getarnt, die darauf abzielte, Mitarbeiter und Auftragnehmer, die in der Verteidigung und in der Luft- und Raumfahrt arbeiten, mit Malware zu infizieren, um Benutzernamen, Passwörter und andere Informationen zu stehlen, die ausgenutzt werden könnten.
Die seit mindestens 2019 aktive Kampagne nutzte Facebook, Instagram und E-Mail, um sich als gefälschte Persona “Marcella Flores” auszugeben. Die Angreifer könnten Monate damit verbringen, über Nachrichten und E-Mails eine Beziehung zu Zielen aufzubauen, bevor sie versuchen, Malware zu verbreiten, nachdem Vertrauen gewonnen wurde.
Die Kampagne wurde von Cybersicherheitsforschern von Proofpoint detailliert beschrieben, die sie mit TA456 – auch bekannt als Schildpatt – in Verbindung gebracht haben, einer staatlich unterstützten iranischen Hackergruppe mit Verbindungen zum Korps der Islamischen Revolutionsgarden (IRGC), a Zweig des iranischen Militärs.
Die Art und Weise, wie ein gefälschtes Social-Media-Profil so lange betrieben wurde, zeigt, wie viel Mühe und Beharrlichkeit die Hintermänner der Spionagekampagne auf sich genommen haben, um interessierte Personen anzusprechen, hauptsächlich Leute, die für US-amerikanische Rüstungsunternehmen arbeiten, insbesondere diejenigen, die an der Unterstützung von Operationen beteiligt sind Im mittleren Osten.
Marcellas öffentlich zugängliches Facebook-Profil behauptete, sie sei Aerobic-Trainerin in Liverpool, England – und ihre Freundesliste enthielt mehrere Personen, die sich in ihren Profilen als Rüstungsunternehmen identifizierten.
Die Angreifer hinter der gefälschten Persona verwendeten E-Mails, Social-Media-Profile, Fotos und sogar kokette Nachrichten, um im Kontakt mit den Zielen den Eindruck einer echten Person zu erwecken.
Nach einer Zeit der Nachrichten mit dem Ziel verwendeten die Angreifer ein als Persona eingerichtetes Gmail-Konto, um dem Opfer einen OneDrive-Link zu senden, der ein Dokument oder eine Videodatei enthielt. Es ist dieser Köder, der verwendet wurde, um Malware an das Opfer zu verteilen – eine aktualisierte Version der Lideric-Malware, die Forscher Lempo getauft haben.
Diese Malware stellt heimlich eine Persistenz auf dem Windows-Computer des Opfers her und ermöglicht es den Angreifern, nach sensiblen Informationen wie Benutzernamen und Passwörtern zu suchen und diese zu stehlen, die dann an die Ausführenden der Operation zurückgesendet werden. Proofpoint sagte, dass es aufgrund der spezifischen Ausrichtung der Opfer nicht möglich sei, zu sagen, ob diese Angriffe erfolgreich waren.
SIEHE: Cybersicherheit: Kommen wir zur Taktik (ZDNet/TechRepublic-Sonderfunktion) | Kostenlose PDF-Version herunterladen (TechRepublic)
Die gestohlenen Benutzernamen und Passwörter könnten den Angreifern helfen, weitere Spionagekampagnen durchzuführen. Es ist wahrscheinlich, dass Rüstungsunternehmen ins Visier genommen wurden, weil der Diebstahl ihrer Anmeldeinformationen den Angreifern die Möglichkeit bieten könnte, in der Lieferkette weiter nach oben zu gelangen und Zugang zu den Netzwerken von Verteidigungs- und Luft- und Raumfahrtunternehmen zu erhalten.
Gestohlene Passwörter könnten ausgenutzt werden, um Fernzugriff auf VPNs und Remote-Software zu erlangen, oder kompromittierte Anmeldeinformationen könnten verwendet werden, um weitere Phishing-Angriffe durchzuführen.
“Die von Lempo gesammelten Informationen können auf verschiedene Weise operationalisiert werden, einschließlich der Nutzung gestohlener VPN-Anmeldeinformationen, der Ausnutzung von Schwachstellen in der identifizierten Software oder der Anpassung von Folge-Malware, die bereitgestellt werden soll.” Sherrod DeGrippo, Senior Director of Threat Research and Detection bei Proofpoint, sagte gegenüber ZDNet.
Vom Staat unterstützte iranische Hacker- und Cyberspionagegruppen haben bereits früher diese Art von Social Engineering betrieben, indem sie falsche Social-Media-Profile von Frauen benutzten, um Einzelpersonen zum Herunterladen von Malware zu verleiten. Wie andere bekannte iranische Spionagekampagnen konzentriert sich diese auf die Rüstungsindustrie und insbesondere auf Unternehmen, die Militäroperationen im Nahen Osten unterstützen. All dies hat dazu geführt, dass Proofpoint die Kampagne der staatlichen iranischen Hackergruppe TA456 zuschreibt.
Facebook hat das Profil der Marcella im Juli geschlossen, nachdem es und andere Konten als an Cyberspionageoperationen im Auftrag von Schildpatt beteiligt identifiziert wurden. Facebook hat in den Kampagnen verwendete Malware mit einem iranischen IT-Unternehmen mit Links zum IRGC in Verbindung gebracht.
Die Angreifer hinter der Rolle von Marcella Flores verbrachten mindestens 18 Monate damit, den Account zu betreiben und für Social Engineering zu verwenden. Die Hingabe an die Erstellung und Pflege dieser falschen Personas, zusammen mit dem praktischen Aufwand, der für Angreifer erforderlich ist, um mit potenziellen Opfern zu interagieren, macht es unwahrscheinlich, dass dies das letzte Mal ist, dass IRGC-verbundene Spionage- und Malware-Verteilungskampagnen diese Taktiken anwenden.
“Das jahrelange Engagement von TA456 für bedeutendes Social Engineering, die gutartige Aufklärung von Zielen vor der Bereitstellung von Malware und ihre plattformübergreifende Kill-Chain machen sie zu einem sehr einfallsreichen Bedrohungsakteur und bedeuten, dass sie erfolgreich sein müssen, um zu gewinnen Informationen, die ihren operativen Zielen entsprechen”, sagte DeGrippo.
Die Operation Marcella Flores und andere Spionagekampagnen aus dem Iran zeigen, wie effektiv Social Engineering als Teil böswilliger Hacker-Kampagnen sein kann – und wie wichtig es ist, darauf zu achten, was Sie in öffentlichen Social-Media-Profilen teilen.
“Es ist besonders wichtig für diejenigen, die innerhalb oder tangential zur Verteidigungsindustrie arbeiten, wachsam zu sein, wenn sie mit unbekannten Personen in Kontakt treten, unabhängig davon, ob es sich um geschäftliche oder private Konten handelt”, sagte DeGrippo.
„Böswillige Akteure nutzen häufig öffentlich verfügbare Informationen über ein Ziel, um sich ein Bild von deren Rolle, Verbindungen, Zugang zu Informationen und Anfälligkeit für Angriffe zu machen – ‚übermäßiges Teilen‘ in sozialen Medien ist in sensiblen Branchen ein besonders riskantes Verhalten Organisationen sollten sicherstellen, dass ihre Mitarbeiter ordnungsgemäß und regelmäßig im Sicherheitsbewusstsein geschult werden”, fügte sie hinzu.
LESEN SIE MEHR ÜBER CYBERSICHERHEIT
Diese iranischen Hacker gaben sich als Akademiker aus, um E-Mail-Passwörter zu stehlenCyberwarfare-Befürchtungen erhöhen die Sicherheitsprobleme für Unternehmen. Facebook sagt, es habe im Iran ansässige Hacker gestört, die auf die USA abzieltenMalware zum Löschen von Festplatten, Phishing und Spionage: Wie sich die Cyberangriffskapazitäten des Iran stapelnMicrosoft Office 365 wird zum Kern von vielen Unternehmen. Und Hacker haben bemerkt
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 