Hvorfor iranske hackingoperasjoner kan være en trussel mot nettverket ditt Se nå
Iranske hackere brukte 18 måneder på å maskere seg som aerobicinstruktør i en cyber -spionasje -kampanje designet for å infisere ansatte og entreprenører som jobber i forsvar og romfart med skadelig programvare for å stjele brukernavn , passord og annen informasjon som kan utnyttes.
Aktiv siden minst 2019, brukte kampanjen Facebook, Instagram og e-post for å posere som den falske persona “Marcella Flores”. Angriperne kunne bruke måneder på å bygge opp forhold til mål via meldinger og e-post før de forsøkte å distribuere skadelig programvare etter at tilliten var oppnådd.
Kampanjen er blitt detaljert av cybersikkerhetsforskere ved Proofpoint som har knyttet den til TA456 – også kjent som Tortoiseshell – en statsstøttet iransk hackergruppe med bånd til Islamic Revolutionary Guard Corps (IRGC), en gren av det iranske militæret.
Måten en falsk sosial medieprofil ble kjørt så lenge viser hvor mye innsats og utholdenhet de bak spionasjekampanjen gikk til for å målrette mot personer av interesse, hovedsakelig folk som jobber for amerikanske forsvarskontraktører , spesielt de som er involvert i å støtte operasjoner i Midt-Østen.
Marcellas offentlige profil Facebook-profil hevdet at hun var aerobicinstruktør i Liverpool, England – og vennelisten hennes inneholdt flere personer som identifiserte seg som forsvarsentreprenører på profilene sine.
Angriperne bak den falske persona brukte e-post, sosiale medieprofiler, bilder og til og med flørtende meldinger for å gi inntrykk av at hun var en ekte person mens hun var i kontakt med målene.
Etter en periode med meldinger frem og tilbake med målet, brukte angriperne en Gmail -konto som var satt opp som person til å sende en OneDrive -lenke som inneholdt et dokument eller en videofil til offeret. Det er dette lokket som ble brukt til å distribuere skadelig programvare til offeret – en oppdatert versjon av Lideric malware som forskere har kalt Lempo.
Denne skadelige programvaren etablerer i hemmelighet utholdenhet på offerets Windows-datamaskin, slik at angriperne kan søke etter og stjele sensitiv informasjon, inkludert brukernavn og passord, som deretter sendes til baksiden til de som driver operasjonen. Proofpoint sa at på grunn av den spesifikke målrettingen av ofre var det ikke mulig å si om angrepene var vellykkede.
SE: Cybersecurity: La oss bli taktiske (ZDNet/TechRepublic spesialfunksjon) | Last ned gratis PDF-versjon (TechRepublic)
De stjålne brukernavnene og passordene kan hjelpe angriperne med å gjennomføre ytterligere spionasje -kampanjer. Det er sannsynlig at forsvarskontraktører ble målrettet fordi å stjele deres legitimasjon kunne gi angriperne midler til å bevege seg lenger opp i forsyningskjeden og få tilgang til nettverkene til forsvars- og romfartsfirmaer.
Stjålne passord kan utnyttes for å få ekstern tilgang til VPN og ekstern programvare, eller kompromitterte legitimasjoner kan brukes til å gjennomføre ytterligere phishing-angrep.
“Informasjonen som er samlet inn av Lempo kan operasjonaliseres på en rekke måter, inkludert bruk av stjålet VPN-legitimasjon, utnyttelse av sårbarheter i den identifiserte programvaren, eller tilpasning av påfølgende skadelig programvare som skal leveres,” Sherrod DeGrippo, senior trusseleder sa forskning og påvisning hos Proofpoint til ZDNet.
Iranske statsstøttede hacking- og cyberspionasjegrupper har tidligere engasjert seg i denne typen sosialteknikk, ved å bruke falske profiler på sosiale medier av kvinner for å lokke enkeltpersoner til å laste ned skadelig programvare. I likhet med andre kjente iranske spionasjekampanjer, er denne fokusert på forsvarsindustrien og spesielt selskaper som støtter militære operasjoner i Midt-Østen. Alt dette har ført til at Proofpoint tilskriver kampanjen til iransk statlig tilknyttet hackinggruppe TA456.
Facebook stengte profilen til Marcella i juli etter å ha identifisert den og andre kontoer som jobber med cyberspionasjeoperasjoner på vegne av Tortoiseshell. Facebook har knyttet malware brukt i kampanjene til et iransk IT -selskap med lenker til IRGC.
Angriperne bak Marcella Flores-persona brukte minst 18 måneder på å kjøre kontoen og bruke den til sosialteknikk. Engasjementet for å lage og vedlikeholde disse falske personasene, komplett med den praktiske innsatsen som kreves for at angriperne skal samhandle med potensielle ofre, betyr at det er usannsynlig at dette er siste gangen IRGC-tilknyttede spionasje- og malware-distribusjonskampanjer bruker denne taktikken.
“TA456s mangeårige engasjement for betydelig sosial ingeniørfag, godartet rekognosering av mål før distribusjon av skadelig programvare, og deres drepekjede på tvers av plattformer gjør dem til en svært ressurssterk trusselsaktør og betyr at de må oppnå suksess med å skaffe informasjon som oppfyller deres operasjonelle mål, “sa DeGrippo.
Marcella Flores -operasjonen og andre spionakampanjer som opererer utenfor Iran, viser hvor effektiv sosial ingeniørkunst kan være som en del av ondsinnede hackingkampanjer – og viktigheten av å være oppmerksom på hva du deler på offentlig sosialt medieprofiler.
“Det er spesielt viktig for de som jobber innenfor eller tangentielt til forsvarsindustriell base å være årvåken når de engasjerer seg med ukjente personer uansett om det er via jobb eller personlige kontoer,” sa DeGrippo.
“Ondsinnede aktører vil bruker ofte offentlig tilgjengelig informasjon om et mål for å bygge opp et bilde av deres rolle, forbindelser, tilgang til informasjon og sårbarhet for angrep – “overdeling” på sosiale medier er en spesielt risikabel oppførsel i sensitive bransjer, så organisasjoner bør sikre ansatte blir ordentlig og ofte trent i sikkerhetsbevissthet, “la hun til.
LES MER OM CYBERSECURITY
Disse iranske hackerne poserte som akademikere i et forsøk på å stjele e -postpassord Cyberwarfare -frykt øker sikkerhetshodet for bedrifter Facebook sier det forstyrret iranbaserte hackere som målrettet mot oss Disk-wiping malware, phishing and spionage: How Irans cyber attack skills stack up Microsoft Office 365 blir kjernen til mange bedrifter. Og hackere har lagt merke til
Relaterte emner:
Security TV Data Management CXO Data Centers 