Badacze konfliktów na celowniku cyberprzestępców z Iranu

Cyberprzestępcy działający na rzecz Iranu atakują badaczy zajmujących się wojną Izraela z Hamasem. Wykorzystują do tego zaawansowaną socjotechnikę – ostrzega zespół Microsoft Threat Intelligence zajmujący się wykrywaniem i analizą zagrożeń.
Irańscy cyberprzestępcy atakują, aby pozyskać dane wywiadowcze

Cyberprzestępcy działający na rzecz Iranu atakują badaczy zajmujących się wojną Izraela z Hamasem. Wykorzystują do tego zaawansowaną socjotechnikę – ostrzega zespół Microsoft Threat Intelligence zajmujący się wykrywaniem i analizą zagrożeń.

Gang znany jako Mint Sandstorm, Charming Kitten lub APT35 obrał za cel badaczy zajmujących się wojną Izraela z Hamasem.

Wspomniana grupa cyberprzestępcza wiązana jest z Iranem, konkretniej zaś – z irańskim wywiadem wojskowym. Jej metody działania – o czym informuje zespół ds. analizy zagrożeń Microsoft Threat Intelligence, obejmują zaawansowaną socjotechnikę, w tym – phishing, który jednak nie jest celem samym w sobie, a wstępem do właściwego ataku.

Ten następuje przy pomocy złośliwego oprogramowania wykradającego dane, którym urządzenie ofiary infekowane jest z wykorzystaniem spreparowanego archiwum RAR. Oprogramowanie stosowane przez APT35 wykrada dane, szczególnie zaś dane wrażliwe.

Szybka kampania Iranu

Co ciekawe, kampanię wykryto już w listopadzie 2023 r., czyli miesiąc po ataku Hamasu na Izrael i początku wojny, w której Iran zajął stronę antyizraelską (to odwieczny wróg Tel Awiwu).

Celem ataków są przede wszystkim ci eksperci, którzy w przekonaniu Teheranu mają możliwość wpływania na działania polityków i zakresie realizacji celów korzystnych z punktu widzenia Iranu.

Iran chce zaś – dzięki wykradaniu danych – pozyskać dane wartościowe z punktu widzenia wywiadu i zbudować obraz tego, jak na świecie widziany jest konflikt Izraela z Hamasem – w możliwie pełnym spektrum ideologicznym i politycznym.

Na celowniku cyberprzestępców znaleźli się naukowcy i analitycy powiązani z organizacjami badawczymi w Belgii, Francji, Gazie, Izraelu, Wielkiej Brytanii i Stanach Zjednoczonych.

Nowe taktyki

Zdaniem Microsoftu, w ramach kampanii obserwować można nowe taktyki, których do tej pory APT35 nie wykorzystywał. Jedną z nich jest użycie do rozsyłania złośliwych załączników autentycznych kont e-mail, których bezpieczeństwo naruszono – nie zaś spreparowanych specjalnie na potrzeby kampanii.

Socjotechnika istotnie jest zaawansowana – pierwszy kontakt z cyberprzestępcami polega na tym, że podszywają się oni pod ważne z punktu widzenia pracy analityka osoby, takie jak np. dziennikarze szanowanych redakcji. W mailu zawarta jest prośba o udzielenie komentarza prasowego i zazwyczaj nie ma tam złośliwego załącznika – bo to mail, którego celem jest budowa zaufania u ofiary i nawiązanie z nią kontaktu. W treści korespondencji może być też zawarta prośba o odniesienie się do treści dokumentu, którego przesłanie zapowiadane jest na kolejny list.

To właśnie w tym momencie właśnie ofiara zostaje “złowiona” – drugi mail, w którym znajduje się link prowadzący do archiwum RAR ze złośliwymi plikami, to już właściwy atak, w ramach którego pobierane jest oprogramowanie wykradające dane.

Na swoim blogu koncern Microsoft podkreślił, że z perspektywy ofiar kampania jest bardzo trudna do wykrycia, bo cyberprzestępcy działający w ramach APT32 są cierpliwi i mają wysokie umiejętności socjotechniczne. Pozwala to na taką realizację działań, aby nie cechowały ich tradycyjnie wskazywane znaki rozpoznawcze fałszywych maili czy oszustw internetowych – a zatem na uśpienie czujności atakowanych osób.


Kup nam kawę na BuyCoffeeTo:

Postaw mi kawę na buycoffee.to
Total
0
Shares
Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Powiązane teksty
Czytaj dalej

Rosyjscy cyberprzestępcy próbują wykraść dane o szczepionce przeciw SARS-CoV-2

Rosyjscy cyberprzestępcy działający w ramach grupy hakerskiej APT29 (Cozy Bear) aktywnie próbują wykraść dane dotyczące prac nad szczepionką przeciwko koronawirusowi SARS-CoV-2 wywołującemu chorobę COVID-19 – twierdzą przedstawiciele rządów USA, Wielkiej Brytanii i Kanady. Kraje te wydały oficjalne ostrzeżenie dotyczące prób nielegalnego pozyskiwania danych przez działających na zlecenie Kremla cyberszpiegów już 16 lipca.
Total
0
Share