Hvorfor iranske hackingoperationer kan være en trussel mod dit netværk Se nu
Iranske hackere brugte 18 måneder på at maskere sig som aerobicinstruktør i en cyberspionagekampagne designet til at inficere medarbejdere og entreprenører, der arbejder inden for forsvar og luftfart med malware for at stjæle brugernavne, adgangskoder og anden information, der kunne udnyttes.
Aktiv siden mindst 2019 brugte kampagnen Facebook, Instagram og e-mails til at fremstå som den falske persona “Marcella Flores”. Angriberne kunne bruge måneder på at opbygge en rapport med mål via beskeder og e -mails, før de distribuerede malware, efter at tilliden var opnået.
Kampagnen er blevet detaljeret af cybersikkerhedsforskere hos Proofpoint, der har linket den til TA456, også kendt som Tortoiseshell – en statsstøttet iransk hackinggruppe med bånd til den islamiske revolutionskorps (IRGC) -grenen af det iranske militær.
Den måde, hvorpå en falsk profil på sociale medier blev kørt så længe, viser mængden af indsats og vedholdenhed, som de bag spionagekampagnen gik til i et forsøg på at målrette mod personer af interesse, overvejende personer, der arbejder for amerikanske forsvarskontrakter, især dem, der er involveret i at støtte operationer i Mellemøsten.
Marcellas offentligt vendte Facebook-profil hævdede, at hun var aerobicinstruktør i Liverpool, England – og hendes venneliste indeholdt flere personer, der identificerede sig som forsvarsentreprenører på deres profiler.
Angriberne bag den falske persona brugte e -mail, profiler på sociale medier, fotos og endda flirtende beskeder for at give indtryk af, at hun var en ægte person, mens hun var i kontakt med målene.
Efter en periode med beskeder frem og tilbage med målet brugte angriberne en Gmail -konto, der var oprettet som persona, til at sende et OneDrive -link, der indeholdt et dokument eller en videofil, til offeret. Det er dette lokke, der blev brugt til at distribuere malware til offeret – en opdateret version af Lideric malware, som forskere har kaldt Lempo.
Denne malware etablerer i hemmelighed vedholdenhed på offerets Windows-computer, så angriberne kan søge efter og stjæle følsomme oplysninger, herunder brugernavne og adgangskoder, som derefter sendes på bagsiden til dem, der kører operationen. Proofpoint sagde på grund af den specifikke målretning af ofrene; det var ikke muligt at sige, om disse angreb var vellykkede.
Se: Cybersikkerhed: Lad os blive taktiske (ZDNet/TechRepublic specialfunktion) | Download den gratis PDF-version (TechRepublic)
De stjålne brugernavne og adgangskoder kan hjælpe angriberne med at gennemføre yderligere spionagekampagner. Forsvarsentreprenører blev sandsynligvis målrettet, fordi stjæling af deres legitimationsoplysninger kunne give angriberne midlerne til at bevæge sig længere op i forsyningskæden og få adgang til forsvars- og luftfartsfirmaernes netværk.
Stjålne adgangskoder kan udnyttes til at få fjernadgang til VPN'er og ekstern software, eller kompromitterede legitimationsoplysninger kan bruges til at udføre yderligere phishing -angreb.
“De oplysninger, Lempo har indsamlet, kan operationaliseres på forskellige måder, herunder brug af stjålne VPN-legitimationsoplysninger, udnyttelse af sårbarheder i den identificerede software eller tilpasning af den efterfølgende malware, der skal leveres,” Sherrod DeGrippo, seniordirektør for trusselforskning og -detektion hos Proofpoint, fortalte ZDNet.
Iranske statsstøttede hacking- og cyberspionagegrupper har tidligere engageret sig i denne form for social engineering ved at bruge falske sociale medieprofiler af kvinder for at lokke enkeltpersoner til at downloade malware. Ligesom andre kendte iranske spionagekampagner er denne fokuseret på forsvarsindustrien og især virksomheder, der yder støtte til militære operationer i Mellemøsten. Alt dette har ført til, at Proofpoint tilskriver kampagnen til den iranske statsbundne hackinggruppe TA456.
Facebook lukkede Marcellas profil i juli efter at have identificeret den og andre konti som arbejdet med cyberspionage-operationer på vegne af Tortoiseshell. Facebook har knyttet malware brugt i kampagnerne til et iransk it -selskab med links til IRGC.
Angriberne bag Marcella Flores-personaen brugte mindst 18 måneder på at køre kontoen og bruge den til social engineering. Engagementet for at skabe og vedligeholde disse falske personas, komplet med den praktiske indsats, der kræves for, at angriberne kan interagere med potentielle ofre, betyder, at det er usandsynligt, at det er sidste gang, IRGC-tilknyttede spionage- og malware-distributionskampagner vil bruge denne taktik.
“TA456s mangeårige dedikation til betydelig social engineering, godartet rekognoscering af mål før implementering af malware, og deres cross-platform kill-kæde gør dem til en meget ressourcefuld trusselsaktør og betyder, at de må opleve succes i få information, der opfylder deres operationelle mål, “sagde DeGrippo.
Marcella Flores-operationen og andre spionagekampagner, der opererer fra Iran, viser, hvor effektiv social engineering kan være som en del af ondsindede hackingkampagner – og vigtigheden af at være opmærksom på, hvad du deler på offentlige sociale medieprofiler.
“Det er især vigtigt for dem, der arbejder inden for eller tangentielt til forsvarets industrielle base, at være opmærksomme, når de er i kontakt med ukendte personer, uanset om det sker via arbejde eller personlige konti,” sagde DeGrippo.
“Ondsindede aktører vil ofte udnytte offentligt tilgængelig information om et mål til at opbygge et billede af deres rolle, forbindelser, adgang til information og sårbarhed over for angreb – 'overdeling' på sociale medier er en særlig risikabel adfærd i følsomme brancher, så organisationer bør sikre, at medarbejderne er korrekt og ofte uddannet i sikkerhedsbevidsthed, “tilføjede hun.
LÆS MERE OM CYBERSIKKERHED
Disse iranske hackere udgav sig som akademikere i et forsøg på at stjæle e-mail-adgangskoder . Cyberwarfare-frygt øger sikkerhedshovedpine for virksomheder . < strong> Facebook siger, at det forstyrrede Iran-baserede hackere, der målrettede USA . Disk-slette malware, phishing og spionage: Hvordan Irans cyberangrebskapaciteter stabler sig . Microsoft Office 365 bliver til kernen i mange virksomheder. Og hackere har bemærket .
Relaterede emner:
Sikkerhed TV Datahåndtering CXO datacentre 