0
0
Ameaça persistente avançada (APT) patrocinada pelo Estado, Charming Kitten (também conhecida como TA453), supostamente vinculada ao Corpo da Guarda Revolucionária Islâmica (IRGC), atualizou suas técnicas de phishing e está usando malware e mais iscas de confronto, possivelmente a serviço de sequestro operações.
Desde 2020, os pesquisadores da Proofpoint observaram variações na atividade de phishing do APT (que também se sobrepõe aos grupos Phosphorous e APT42), com o grupo empregando novos métodos e visando alvos diferentes do que no passado. Nas últimas campanhas, os pesquisadores observaram atividades mais agressivas, que poderiam ser usadas para apoiar tentativas de “operações cinéticas” do IRGC, incluindo assassinato de aluguel e sequestro, disseram os pesquisadores.
“O TA453, como seus colegas agentes de ameaças persistentes avançados envolvidos em espionagem, está em constante estado de fluxo em relação a suas ferramentas, táticas, técnicas e direcionamento”, concluiu um relatório da Proofpoint divulgado esta semana. “Ajustando suas abordagens, provavelmente em resposta a prioridades em constante mudança e expansão, as campanhas atípicas provavelmente continuarão e refletirão os requisitos de coleta de inteligência do IRGC, incluindo possível suporte para operações hostis e até mesmo cinéticas”.
Hackear contas de e-mail
Em 2021, a Proofpoint documentou o TA453 falsificando dois estudiosos da Universidade de Londres para tentar obter acesso a caixas de entrada de e-mail pertencentes a jornalistas, funcionários de think tanks, acadêmicos e outros. Em agosto, pesquisadores do Google disseram que a equipe de hackers começou a empregar uma ferramenta de roubo de dados visando contas do Gmail, Yahoo e Microsoft Outlook usando credenciais adquiridas anteriormente. A inteligência coletada de conversas por e-mail pode ser usada para rastreamento de localização e muito mais.
Uma campanha que os pesquisadores observaram contra um ex-membro do exército israelense era ameaçadora e perturbadora a esse respeito, observou o relatório da Proofpoint.
“O TA453 utilizou várias contas de e-mail comprometidas, incluindo as de um oficial militar de alto escalão, para fornecer um link para o alvo”, explicaram os pesquisadores. “O uso de várias contas de e-mail comprometidas para atingir um único alvo é incomum para o TA453. Embora cada um dos URLs observados fosse exclusivo para cada conta de e-mail comprometida, cada um vinculado ao domínio gettogether[.]quest e apontava para a mesma mensagem ameaçadora em Hebraico.”
A mensagem dizia: “Tenho certeza de que você se lembra do que eu lhe disse. Cada e-mail que você recebe de seus amigos pode ser eu e não alguém que ele afirma. Seguimos você como sua sombra, em Tel Aviv, em [redigido], em Dubai, no Bahrein. Cuide-se.”
Ciber-alvos atualizados para o gatinho encantador
As campanhas de e-mail anteriores da Charming Kitten quase sempre tiveram como alvo acadêmicos, pesquisadores, diplomatas, dissidentes, jornalistas e ativistas de direitos humanos, usando web beacons em mensagens de texto antes de tentar obter as credenciais do alvo. Essas campanhas podem começar com semanas de conversas inócuas em contas criadas pelos atores antes de lançar o ataque real.
As novas campanhas têm como alvo pesquisadores específicos na área médica, um engenheiro aeroespacial, um agente imobiliário e agentes de viagens, entre outros, escreveram os pesquisadores da Proofpoint, Joshua Miller e Crista Giering, em um post nesta semana.
Em alguns casos, o TA453 conta com uma pessoa fictícia, “Samantha Wolf”, como isca. Os pesquisadores da Proofpoint identificaram a persona pela primeira vez em meados de março, quando a conta do Gmail associada foi incluída no conteúdo de isca de um documento malicioso.
“As iscas de confronto de Samantha demonstram uma tentativa interessante de gerar envolvimento com alvos não vistos em outras contas do TA453”, observou o relatório.
O relatório da Proofpoint disse que poderia afirmar “com confiança moderada” que a atividade mais agressiva poderia representar a colaboração com outro ramo do estado iraniano, incluindo a IRGC Quds Force, que realiza operações físicas.
Em maio, a agência de inteligência israelense Shin Bet identificou a atividade de phishing dos serviços de inteligência iranianos projetada para atrair alvos para sequestrá-los, observou a Proofpoint.
“Com base nos indicadores fornecidos, a Proofpoint correlacionou esta atividade com as campanhas TA453 de dezembro de 2021, nas quais as campanhas atribuídas ao TA453 usaram um endereço de e-mail falsificado de um acadêmico respeitável … ‘ ” De acordo com o relatório.
FONTE: DARK READING