Эти российские и иранские хакеры обманывают жизненно важные отрасли
вычисления techradar.com Новости

Эти российские и иранские хакеры обманывают жизненно важные отрасли

26 января 2023 г.

Национальный центр кибербезопасности Великобритании (NCSC) предупредил о непрекращающихся кибератаках, совершаемых российскими и иранскими хакерскими группировками.

В его отчете говорится, что SEABORGIUM (также известный как Callisto Group/TA446/COLDRIVER/TAG-53) и TA453 (также известный как APT42/Charming Kitten/Yellow Garuda/ITG18) используют методы целевого фишинга, нацеленные на учреждения и отдельных лиц с целью сбора информации.

Хотя эти две группы, похоже, не находятся в сговоре, они по отдельности нападают на те же типы организаций, которые в прошлом году включали в себя оборонный сектор, государственные органы, неправительственные организации и научные круги, а также отдельных лиц, таких как политики, журналисты и активисты.

Игра в долгую игру

Целевой фишинг – это более изощренная техника фишинга, при которой злоумышленники делают вид, что обладают информацией, представляющей особый интерес для их жертвы, которую они исследовали с использованием свободно доступных ресурсов, таких как профили в социальных сетях и профессиональные сетевые платформы, обнаруживая свои интересы и личности людей, которых они знают.

Обе группы даже зашли так далеко, что сами создали поддельные профили в социальных сетях, чтобы выдать себя за известные контакты своей цели, экспертов в своей области и журналистов, чтобы заманить их, а также создать поддельные приглашения на мероприятия.

Обычно сначала существует безобидный контакт, поскольку SEABORGIUM и TA453 стремятся установить отношения со своей целью, чтобы завоевать ее доверие. NCSC отмечает, что это может продолжаться в течение длительного периода.

После этого они обычно развертывают вредоносную ссылку в виде веб-адреса или ссылки, встроенной в общий документ с таких платформ, как Microsoft One Drive или Google Drive.

Подробнее

> Фишинговые атаки становятся все более изощренными

> Что такое фишинг и насколько это опасно?

> Эта фишинговая кампания Microsoft 365 бунтует уже больше года

NCSC даже сообщает, что «в одном случае [TA453] даже организовал вызов Zoom с целью, чтобы поделиться вредоносным URL-адресом в панели чата во время звонка». Сообщалось также об использовании нескольких поддельных персонажей в одной фишинговой атаке в попытке укрепить фасад.

Переход по этим ссылкам обычно приводит жертву на поддельную страницу входа в систему, контролируемую злоумышленниками, и как только они вводят свои учетные данные, они похищаются злоумышленниками. С их помощью злоумышленники затем входят в систему своих жертв». учетные записи электронной почты, чтобы красть электронные письма, вложения, а также пересылать входящие электронные письма на свои собственные учетные записи, чтобы постоянно шпионить за своими жертвами.

Более того, они затем используют сохраненные контакты в скомпрометированной учетной записи электронной почты, чтобы найти еще больше жертв в последующих атаках и начать процесс заново.

И SEABORGIUM, и TA453 используют учетные записи от распространенных провайдеров электронной почты, таких как Outlook и Gmail, для создания поддельных удостоверений, когда первым приближаются к своей цели. Они также создали поддельные домены для, казалось бы, законных организаций, а те из них, о которых в настоящее время известно, что они связаны с SEABORGIUM, были опубликованы в списке, любезно предоставленном Microsoft Threat Intelligence Center (MSTIC).

Фирма по кибербезопасности Proofpoint следит за иранской группой TA453 с 2020 года, в значительной степени повторяя те же выводы, что и NCSC: «Кампании [TA453] могут начинаться с недель доброжелательных разговоров с учетными записями, созданными актерами, до попытки эксплуатации».

Они также отметили, что среди других целей группы были медицинские исследователи, аэрокосмический инженер, риелтор и туристические агентства. Они также выпустили следующее предупреждение:

«Исследователи, занимающиеся вопросами международной безопасности, особенно те, которые специализируются на ближневосточных исследованиях или ядерной безопасности, должны проявлять повышенную бдительность при получении нежелательных электронных писем. Например, эксперты, к которым обращаются журналисты, должны проверить веб-сайт издания, чтобы узнать, принадлежит законному репортеру».

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE