Varför iransk hackning kan utgöra ett hot mot ditt nätverk Se nu
Iranska hackare tillbringade 18 månader för att maskera sig som en aerobicsinstruktör i en cyber-spionage-kampanj som är utformad för att infektera anställda och entreprenörer som arbetar inom försvar och flyg med skadlig kod för att stjäla användarnamn, lösenord och annan information som kan utnyttjas.
Aktiv sedan minst 2019 använde kampanjen Facebook, Instagram och e -postmeddelanden för att framstå som den falska personligheten “Marcella Flores”. Angriparna kunde spendera månader på att bygga upp en rapport med mål via meddelanden och e-postmeddelanden innan de distribuerade skadlig kod efter att förtroendet uppnåddes.
Kampanjen har beskrivits av cybersäkerhetsforskare på Proofpoint som har kopplat den till TA456, även känd som Tortoiseshell – en statsstödd iransk hackgrupp med band till den islamiska revolutionskårens gren (IRGC) av den iranska militären.
Hur en falsk social media -profil kördes så länge visar hur mycket ansträngning och uthållighet som de som stod bakom spionagekampanjen gick till för att rikta in sig på personer av intresse, främst personer som arbetar för amerikanska försvarsentreprenörer, särskilt de som är involverade i att stödja operationer i Mellanöstern.
Marcellas offentliga Facebook-profil hävdade att hon var aerobicinstruktör i Liverpool, England-och hennes vänlista innehöll flera personer som identifierade sig som försvarsentreprenörer på deras profiler.
Angriparna bakom den falska personan använde e -post, sociala medieprofiler, foton och till och med flirtiga meddelanden för att ge intrycket av att hon var en äkta person medan hon var i kontakt med målen.
Efter en period av meddelanden fram och tillbaka med målet, använde angriparna ett Gmail-konto som personuppsättning för att skicka en OneDrive-länk som innehöll ett dokument eller en videofil till offret. Det är den här beten som användes för att distribuera skadlig kod till offret – en uppdaterad version av Lideric malware, som forskare har kallat Lempo.
Denna skadliga kod skapar i hemlighet uthållighet på offrets Windows-dator, så att angriparna kan söka efter och stjäla känslig information, inklusive användarnamn och lösenord, som sedan skickas till baksidan till de som kör operationen. Proofpoint sade på grund av den specifika inriktningen av offren; det var inte möjligt att säga om dessa attacker lyckades.
Se: Cybersäkerhet: Låt oss bli taktiska (ZDNet/TechRepublic specialfunktion) | Ladda ner gratis PDF-version (TechRepublic)
De stulna användarnamnen och lösenorden kan hjälpa angriparna att genomföra ytterligare spionagekampanjer. Försvarskontraktörer var sannolikt inriktade på att stjäla deras referenser skulle kunna ge angriparna möjlighet att gå längre upp i försörjningskedjan och få tillgång till nätverken för försvars- och rymdföretag.
Stulna lösenord kan utnyttjas för att få fjärråtkomst till VPN och fjärrprogramvara, eller så kan komprometterade referenser användas för att genomföra ytterligare nätfiskeattacker.
“Informationen som samlats in av Lempo kan operationeras på olika sätt, inklusive användning av stulna VPN-uppgifter, utnyttjande av sårbarheter i den identifierade programvaran eller anpassning av uppföljande skadlig kod som ska levereras,” Sherrod DeGrippo, senior chef för hotforskning och upptäckt på Proofpoint berättade för ZDNet.
Iranska statsstödda hackings- och cyberspionagrupper har tidigare engagerat sig i denna typ av socialteknik och använt falska sociala medieprofiler för kvinnor för att locka individer att ladda ner skadlig programvara. Liksom andra kända iranska spionagekampanjer är den här inriktad på försvarsindustrin och särskilt företag som ger stöd till militära operationer i Mellanöstern. Allt detta har lett till att Proofpoint tillskrivit kampanjen till den iranska statslänkade hackergruppen TA456.
Facebook stängde av Marcellas profil i juli efter att ha identifierat den och andra konton som att arbeta med cyberspionageverksamhet för Tortoiseshells räkning. Facebook har kopplat skadlig kod som används i kampanjerna till ett iranskt IT -företag med länkar till IRGC.
Angriparna bakom Marcella Flores-personalen spenderade minst 18 månader på att driva kontot och använda det för social teknik. Engagemanget för att skapa och underhålla dessa falska personas, komplett med den praktiska insats som krävs för angripare för att interagera med potentiella offer, betyder att det är osannolikt att det är sista gången som IRGC-anslutna spionage- och skadedistributionskampanjer använder denna taktik.
“TA456: s årslånga engagemang för betydande socialteknik, godartad rekognosering av mål före utplacering av skadlig kod och deras plattformsdödande kedja gör dem till en mycket resursfull hotaktör och betyder att de måste uppleva framgång i få information som uppfyller deras operativa mål, säger DeGrippo.
Marcella Flores-operationen och andra spionagekampanjer från Iran visar hur effektiv socialteknik kan vara som en del av skadliga hackningskampanjer – och vikten av att vara uppmärksam på vad du delar på offentliga sociala medieprofiler.
“Det är särskilt viktigt för dem som arbetar inom eller tangentiellt mot försvarsindustrins bas att vara vaksamma när de kommer i kontakt med okända personer oavsett om det är via arbete eller personliga konton”, säger DeGrippo.
“Skadliga aktörer kommer ofta att använda allmänt tillgänglig information om ett mål för att bygga upp en bild av deras roll, kopplingar, tillgång till information och sårbarhet för attacker -” överdelning “på sociala medier är ett särskilt riskabelt beteende i känsliga branscher, så organisationer bör se till att anställda är ordentligt och ofta utbildade i säkerhetsmedvetenhet, tillade hon.
LÄS MER OM CYBERSÄKERHET
Dessa iranska hackare poserade som akademiker i ett försök att stjäla lösenord för e-post . Cyberwarfare-rädsla ökar säkerhetshuvudvärk för företag . < strong> Facebook säger att det störde Iran-baserade hackare som riktade sig mot USA . Disk-torka av skadlig kod, nätfiske och spionage: Hur Irans cyberattack-kapacitet staplas upp . Microsoft Office 365 håller på att bli kärnan i många företag. Och hackare har lagt märke till .
Relaterade ämnen:
Säkerhets-TV-datahantering CXO-datacenter 