Operation SpoofedScholars - in gesprek met TA453

proofpoint

Sinds januari 2021 probeert TA453 gevoelige informatie van mensen te stelen door zich voor te doen als Britse academici van de School of Oriental and African Studies (SOAS) van de Universiteit van Londen. De cybercriminele groep is een APT en helpt volgens Proofpoint zeer waarschijnlijk de Islamic Revolutionary Guard Corps (IRGC) bij het verzamelen van informatie. TA453 gebruite backstopping voor zijn credential phishing-infrastructuur door een legitieme site van een hoog aangeschreven academische instelling te hacken. Daarmee werden gepersonaliseerde pagina's, vermomd als registratielinks, opgezet waarmee inloggegevens werden gestolen.

Tot de doelwitten behoorden deskundigen in het Midden-Oosten, hoogleraren van bekende academische instellingen, en journalisten die gespecialiseerd zijn in het Midden-Oosten. De aanvallen waren gedetailleerd en uitgebreid, vaak inclusief lange gesprekken voordat de volgende stap in de aanvalsketen werd uitgevoerd.

Zodra het gesprek tot stand was gebracht, stuurde TA453 een 'registratielink' naar een legitieme, maar gehackte website die toebehoorde aan de SOAS-radio van de Universiteit van Londen. De gehackte site was zo ingericht dat hij veel inloggegevens kon verzamelen.

Deze operatie, SpoofedScholars genoemd, vertegenwoordigt een van de meer geraffineerde TA453-campagnes die door Proofpoint zijn geïdentificeerd.

Chatten met TA453

Begin 2021 gebruikte iemand van TA453, “Dr.Hanns Bjoern Kendel, Senior Teaching and Research Fellow at SOAS University in London”, het e-mailadres hannse.kendel4[@]gmail.com om gesprekken aan te knopen met beoogde doelwitten. Hieronder volgt een samenvatting van zo’n gesprek dat werd waargenomen door Proofpoint Threat Research:

  • TA453 stuurde een eerste e-mail naar het doelwit met daarin een uitnodiging voor een online conferentie over "De Amerikaanse veiligheidsuitdagingen in het Midden-Oosten."
  • TA453 probeerde telefonisch contact te leggen met het individu om de uitnodiging te bespreken
  • Nadat het doelwit twijfelde en nadrukkelijk aangaf een schriftelijk voorstel met de details te willen, ging TA453 akkoord en werden de details van de conferentie gedeeld
  • Na wat berichten over en weer om de interesse van het doelwit te peilen, deelde TA453 een uitnodiging voor de zogenaamde conferentie (afbeelding 1). Het gesprek werd afgesloten met een poging van TA453 om het doelwit via videoconferencing te bereiken.

Gespreksanalyse

  • TA453 beheerst de Engelse taal redelijk goed en staat open voor gesproken communicatie via videoconferentie.
  • TA453 toont veel belangstelling voor mobiele telefoonnummers, mogelijk voor het gebruik van mobiele malware of extra phishing.
  • TA453 liet herhaaldelijk weten graag in real time in contact te willen komen met het doelwit.

Campagne-overzicht

Doelwitten

De doelwitten van TA453 in Operatie SpoofedScholars kunnen worden onderverdeeld in drie hoofdcategorieën die overeenkomen met interesses van de IRGC.

  • Senior personeel van denktanks
  • Journalisten gefocust op het Midden-Oosten
  • Hoogleraren

Deze groepen beschikken over informatie die van belang is voor de Iraanse regering. Het gaat onder meer om informatie over buitenlands beleid, inzicht in Iraanse extremistische groepen en inzicht in de Amerikaanse nucleaire onderhandelingen. Bovendien zijn de meeste doelwitten al eerder doelwit geweest van TA453. De doelwitten waren zeer zorgvuldig gekozen: volgens de gegevens van Proofpoint waren minder dan tien organisaties het doelwit.

Infrastructuur

Zodra TA453 wist wanneer het doelwit de uitnodiging zou accepteren, werd de gepersonaliseerde link met het beoogde slachtoffer gedeeld. De link leidde naar een "Webinar Control Panel" op een legitieme maar gehackte website van SOAS, een onderzoeksinstituut van de Universiteit van Londen. Volgens onderzoek van Proofpoint lijkt TA453 meer rechten te hebben waarmee ze credential harvesting-pagina's op soasradio[.]org konden creëeren. Andere pagina's op de site bevatten echter nog steeds legitieme SOAS-gelieerde inhoud.

 TA453 maakte de aanval geloofwaardiger door persona’s te gebruiken die zich voordeden als legitieme SOAS-leden om de schadelijke links te verspreiden. De getoonde website (Afbeelding 2) biedt gebruikers de mogelijkheid om "OpenID" te gebruiken om "in te loggen" bij wat grote mailproviders leken te zijn.

 Wanneer op een van de providers wordt geklikt, verschijnt in een pop-upvenster (Afbeelding 3) het daadwerkelijke credential phishing-venster. Bij de opties Google, Microsoft en E-mail wordt het e-mailadres van het doelwit automatisch ingevuld. Op basis van de verscheidenheid aan e-mailproviders, samen met TA453's aandringen dat het doelwit inlogde wanneer TA453 online was, vermoedt Proofpoint dat TA453 van plan was om de buitgemaakte inloggegevens meteen handmatig te verifiëren.

Maanden later begon TA453 Tolga Sinmazdemir, een andere aan SOAS verbonden persoon, te spoofen. Deze emails vroegen om bijdragen voor een "DIPS Conferentie" en zouden waarschijnlijk tot een soortgelijke aanvalsketen hebben geleid als hierboven. Half mei keerde TA453 terug, gebruikmakend van een ander e-mailadres (hanse.kendel4[@]gmail.com) om slachtoffers uit te nodigen voor een webinar.

Attributie

Analisten van Proofpoint kunnen niet met zekerheid bevestigen dat TA453 deel uitmaakt van de IRGC. Echter, de tactieken en technieken gebruikt door de groep en de doelwitten die zij uitkiezen, komen overeen met die van de IRGC.

Zo is ook de specifieke attributie voor Operation SpoofedScholars gebaseerd op TTP-gelijkenissen met eerdere campagnes van TA453 en samenhang met de targeting van TA453.

Conclusie

TA453 verkreeg illegaal toegang tot een website die toebehoorde aan een gerenommeerde academische instelling. De gehackte infrastructuur werd vervolgens gebruikt om de inloggegevens van hun beoogde doelwitten te verzamelen. Sommige van de geïdentificeerden lijken niet langer actief betrokken te zijn bij de activiteiten van TA453. Toch acht Proofpoint het zeer waarschijnlijk dat TA453 doorgaat met het spoofen van academici over de hele wereld. Dit ter ondersteuning van TA453's pogingen om informatie te verzamelen voor de Iraanse overheid.

Academici, journalisten en personeel van denktanks moeten voorzichtig zijn en de identiteit verifiëren van de personen met wie ze in contact komen.

Meer over
Lees ook
Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

Onderzoekers van Proofpoint ontdekten dat TA571 de Forked-variant van IcedID levert in twee campagnes. Dit vond plaats op 11 en 18 oktober 2023. Beide campagnes bevatten meer dan 6.000 berichten die allemaal een impact hadden op meer dan 1.200 klanten in verschillende sectoren verspreid over heel de wereld.

Zowel cybercriminelen als –verdedigers gebruiken AI

Zowel cybercriminelen als –verdedigers gebruiken AI

Nieuwe ISACA-gids ondersteunt bedrijven bij het managen van generatieve AI-risico’s

Is de cybercrimineel van de toekomst een robot?

Is de cybercrimineel van de toekomst een robot?

Hoewel de eerste door AI gegenereerde cyberaanval nog officieel gedocumenteerd moet worden, zal kunstmatige intelligentie naar verwachting ook in security zijn impact gaan hebben. Sterker nog, AI wordt nu al door cybercriminelen ingezet en bijvoorbeeld gebruikt om phishingmails bij te slijpen. En nieuwe bedreigingen komen door AI waarschijnlijk no1