0
0
Um conhecido grupo de ameaças iranianas, Cobalt Illusion, foi associado a uma campanha de spear phishing que está usando os protestos em torno da morte de Mahsa Amini no Irã como uma isca.
Amini era uma iraniana de 22 anos que teria sido espancada até a morte pela polícia iraniana por não usar o hijab de acordo com os regulamentos do governo. Sua morte desencadeou uma série de protestos, principalmente de mulheres, que os usaram para desafiar publicamente as mesmas regras pelas quais Amini foi preso.
Pesquisadores da Secureworks identificaram a campanha, que tem como alvo manifestantes do sexo feminino, ativistas políticos e pesquisadores de direitos humanos usando uma conta falsa no Twitter. Alguém usando o nome de Sara Shokouhi, com um identificador de Twitter @SaShokouhi, alcança as vítimas supostamente em nome do think tank americano Atlantic Council. Na realidade, Sara é uma criação da ameaça persistente avançada Cobalt Illusion (APT), também conhecida como Charming Kitten , APT42, Phosphorous, TA453 e Yellow Garuda.
“Os agentes de ameaças criam uma pessoa falsa e a usam para estabelecer relacionamento com os alvos antes de tentar falsificar credenciais ou implantar malware no dispositivo do alvo”, disse Secureworks CTU Rafe Pilling, pesquisador principal e líder temático do Irã, em comunicado à imprensa. “Ter uma persona convincente é uma parte importante dessa tática.”
Um conjunto de atividades relatadas no Twitter em 24 de fevereiro estimulou a investigação sobre possíveis atividades cibernéticas maliciosas, com várias mulheres ativamente envolvidas em assuntos políticos do Oriente Médio e relatos de direitos humanos do indivíduo, revelaram pesquisadores em um post de blog publicado hoje . O que eles descobriram é que a conta @SaShokouhi no Twitter, em operação desde outubro, twittou ou se envolveu em postagens de apoio ao protesto de Mahsa Amini no Irã para parecer “simpático aos interesses e demandas dos manifestantes e criar uma ilusão de interesses compartilhados”. a equipe de pesquisa da Secureworks Counter Threat Unit (CTU) escreveu no post.
Encontrando um terreno comum
A Cobalt Illusion parece ter usado os protestos como uma forma de encontrar um terreno comum com os alvos, disseram os pesquisadores. Incluídos em algumas das postagens feitas por @SaShokouhi estavam “o uso cínico de conteúdo angustiante, como imagens de crianças mortas, abuso físico sofrido por manifestantes, comentários anti-governo iraniano e simbolismo anti-iraniano”, escreveram os pesquisadores.
Os pesquisadores finalmente descobriram que os invasores criaram a persona Sara Shokouhi usando imagens roubadas de uma conta do Instagram pertencente a um psicólogo e leitor de cartas de tarô baseado na Rússia, disse Pilling. A APT também criou uma conta falsa no Instagram usando as fotos, @sarashokouhii.
As táticas usadas na campanha são típicas do Cobalt Illusion APT , que está associado ao Corpo da Guarda Revolucionária do Irã (IRC) e está ativo desde 2014.
“Phishing e coleta de dados em massa são táticas centrais do Cobalt Illusion”, disse Pilling. “Vimos isso acontecer de várias formas nos últimos anos.”
De fato, o grupo é conhecido por usar plataformas de mídia social para atingir acadêmicos , jornalistas, defensores dos direitos humanos, ativistas políticos, organizações intergovernamentais (IGOs) e organizações não governamentais (ONGs) que se concentram no Irã. Seu modus operandi é estabelecer relacionamentos confiáveis por meio dessas plataformas e, em seguida, usar campanhas de phishing para roubar credenciais de sistemas que desejam acessar para fins de espionagem cibernética, disseram os pesquisadores.
A Cobalt Illusion usa as informações roubadas por meio dessa atividade de várias maneiras, inclusive para informar as operações militares e de segurança iranianas sobre atividades de pessoas de interesse, o que não apenas pode levar à vigilância, mas também à prisão, detenção ou assassinato seletivo, disse Pilling .
Representando um Think Tank
Na recente campanha observada pela Secureworks, a persona SaShokouhi cortejou as vítimas alegando trabalhar com Holly Dagres, membro sênior do Atlantic Council. Em um tweet – uma captura de tela que os pesquisadores incluíram em sua postagem – a própria Dagres negou trabalhar com Shokouhi, indicando que a persona não é legítima.
O link para o Atlantic Council também revela que a Cobalt Illusion está envolvida, disseram os pesquisadores. Isso porque em atividade anterior confirmada pela Equipe de Resposta a Emergências de Computadores em Farsi (CERTFA) em setembro, a APT se fez passar por um funcionário do Atlantic Council, disseram eles. O CERTFA é composto por especialistas em segurança cibernética no espaço de segurança digital do Irã.
“Nessa campanha, o grupo tentou envolver os alvos em videochamadas e forneceu links de phishing por meio da função de bate-papo em um ponto apropriado da conversa”, escreveram os pesquisadores da CTU.
O CERTFA Lab publicou um conjunto de indicadores de phishing relacionados à campanha, que se alinham com a atividade anterior do Cobalt Illusion. Os pesquisadores recomendaram que as organizações que podem ser visadas usem os controles disponíveis para revisar os endereços IP associados à campanha e restringir o acesso a eles, desconfiando da probabilidade de conter conteúdo malicioso antes de abri-los em um navegador.
Como sempre, quando se trata de phishing, as organizações devem usar tecnologia de verificação de e-mail confiável e comprovada pelo setor para excluir mensagens maliciosas antes que cheguem aos funcionários, bem como treinar os funcionários sobre como identificar marcas de atividade de phishing para evitar envolvimento e, assim, arriscar o comprometimento de dados e sistemas sensíveis, disseram os pesquisadores.
FONTE: DARK READING