Operation SpoofedScholars - in gesprek met TA453

proofpoint

Sinds januari 2021 probeert TA453 gevoelige informatie van mensen te stelen door zich voor te doen als Britse academici van de School of Oriental and African Studies (SOAS) van de Universiteit van Londen. De cybercriminele groep is een APT en helpt volgens Proofpoint zeer waarschijnlijk de Islamic Revolutionary Guard Corps (IRGC) bij het verzamelen van informatie. TA453 gebruite backstopping voor zijn credential phishing-infrastructuur door een legitieme site van een hoog aangeschreven academische instelling te hacken. Daarmee werden gepersonaliseerde pagina's, vermomd als registratielinks, opgezet waarmee inloggegevens werden gestolen.

Tot de doelwitten behoorden deskundigen in het Midden-Oosten, hoogleraren van bekende academische instellingen, en journalisten die gespecialiseerd zijn in het Midden-Oosten. De aanvallen waren gedetailleerd en uitgebreid, vaak inclusief lange gesprekken voordat de volgende stap in de aanvalsketen werd uitgevoerd.

Zodra het gesprek tot stand was gebracht, stuurde TA453 een 'registratielink' naar een legitieme, maar gehackte website die toebehoorde aan de SOAS-radio van de Universiteit van Londen. De gehackte site was zo ingericht dat hij veel inloggegevens kon verzamelen.

Deze operatie, SpoofedScholars genoemd, vertegenwoordigt een van de meer geraffineerde TA453-campagnes die door Proofpoint zijn geïdentificeerd.

Chatten met TA453

Begin 2021 gebruikte iemand van TA453, “Dr.Hanns Bjoern Kendel, Senior Teaching and Research Fellow at SOAS University in London”, het e-mailadres hannse.kendel4[@]gmail.com om gesprekken aan te knopen met beoogde doelwitten. Hieronder volgt een samenvatting van zo’n gesprek dat werd waargenomen door Proofpoint Threat Research:

  • TA453 stuurde een eerste e-mail naar het doelwit met daarin een uitnodiging voor een online conferentie over "De Amerikaanse veiligheidsuitdagingen in het Midden-Oosten."
  • TA453 probeerde telefonisch contact te leggen met het individu om de uitnodiging te bespreken
  • Nadat het doelwit twijfelde en nadrukkelijk aangaf een schriftelijk voorstel met de details te willen, ging TA453 akkoord en werden de details van de conferentie gedeeld
  • Na wat berichten over en weer om de interesse van het doelwit te peilen, deelde TA453 een uitnodiging voor de zogenaamde conferentie (afbeelding 1). Het gesprek werd afgesloten met een poging van TA453 om het doelwit via videoconferencing te bereiken.

Gespreksanalyse

  • TA453 beheerst de Engelse taal redelijk goed en staat open voor gesproken communicatie via videoconferentie.
  • TA453 toont veel belangstelling voor mobiele telefoonnummers, mogelijk voor het gebruik van mobiele malware of extra phishing.
  • TA453 liet herhaaldelijk weten graag in real time in contact te willen komen met het doelwit.

Campagne-overzicht

Doelwitten

De doelwitten van TA453 in Operatie SpoofedScholars kunnen worden onderverdeeld in drie hoofdcategorieën die overeenkomen met interesses van de IRGC.

  • Senior personeel van denktanks
  • Journalisten gefocust op het Midden-Oosten
  • Hoogleraren

Deze groepen beschikken over informatie die van belang is voor de Iraanse regering. Het gaat onder meer om informatie over buitenlands beleid, inzicht in Iraanse extremistische groepen en inzicht in de Amerikaanse nucleaire onderhandelingen. Bovendien zijn de meeste doelwitten al eerder doelwit geweest van TA453. De doelwitten waren zeer zorgvuldig gekozen: volgens de gegevens van Proofpoint waren minder dan tien organisaties het doelwit.

Infrastructuur

Zodra TA453 wist wanneer het doelwit de uitnodiging zou accepteren, werd de gepersonaliseerde link met het beoogde slachtoffer gedeeld. De link leidde naar een "Webinar Control Panel" op een legitieme maar gehackte website van SOAS, een onderzoeksinstituut van de Universiteit van Londen. Volgens onderzoek van Proofpoint lijkt TA453 meer rechten te hebben waarmee ze credential harvesting-pagina's op soasradio[.]org konden creëeren. Andere pagina's op de site bevatten echter nog steeds legitieme SOAS-gelieerde inhoud.

 TA453 maakte de aanval geloofwaardiger door persona’s te gebruiken die zich voordeden als legitieme SOAS-leden om de schadelijke links te verspreiden. De getoonde website (Afbeelding 2) biedt gebruikers de mogelijkheid om "OpenID" te gebruiken om "in te loggen" bij wat grote mailproviders leken te zijn.

 Wanneer op een van de providers wordt geklikt, verschijnt in een pop-upvenster (Afbeelding 3) het daadwerkelijke credential phishing-venster. Bij de opties Google, Microsoft en E-mail wordt het e-mailadres van het doelwit automatisch ingevuld. Op basis van de verscheidenheid aan e-mailproviders, samen met TA453's aandringen dat het doelwit inlogde wanneer TA453 online was, vermoedt Proofpoint dat TA453 van plan was om de buitgemaakte inloggegevens meteen handmatig te verifiëren.

Maanden later begon TA453 Tolga Sinmazdemir, een andere aan SOAS verbonden persoon, te spoofen. Deze emails vroegen om bijdragen voor een "DIPS Conferentie" en zouden waarschijnlijk tot een soortgelijke aanvalsketen hebben geleid als hierboven. Half mei keerde TA453 terug, gebruikmakend van een ander e-mailadres (hanse.kendel4[@]gmail.com) om slachtoffers uit te nodigen voor een webinar.

Attributie

Analisten van Proofpoint kunnen niet met zekerheid bevestigen dat TA453 deel uitmaakt van de IRGC. Echter, de tactieken en technieken gebruikt door de groep en de doelwitten die zij uitkiezen, komen overeen met die van de IRGC.

Zo is ook de specifieke attributie voor Operation SpoofedScholars gebaseerd op TTP-gelijkenissen met eerdere campagnes van TA453 en samenhang met de targeting van TA453.

Conclusie

TA453 verkreeg illegaal toegang tot een website die toebehoorde aan een gerenommeerde academische instelling. De gehackte infrastructuur werd vervolgens gebruikt om de inloggegevens van hun beoogde doelwitten te verzamelen. Sommige van de geïdentificeerden lijken niet langer actief betrokken te zijn bij de activiteiten van TA453. Toch acht Proofpoint het zeer waarschijnlijk dat TA453 doorgaat met het spoofen van academici over de hele wereld. Dit ter ondersteuning van TA453's pogingen om informatie te verzamelen voor de Iraanse overheid.

Academici, journalisten en personeel van denktanks moeten voorzichtig zijn en de identiteit verifiëren van de personen met wie ze in contact komen.

Meer over
Lees ook
WatchGuard waarschuwt online shoppers voor oplichting

WatchGuard waarschuwt online shoppers voor oplichting

Met de feestdagen en Black Friday in aantocht slijpen oplichters de messen. Ook dit jaar proberen zij massaal om consumenten geld afhandig te maken en gevoelige gegevens te stelen, zo waarschuwt WatchGuard Technologies. Het IT-beveiligingsbedrijf zet de belangrijkste trucs van online oplichters op een rij. Ook geeft WatchGuard praktische tips om t1

Proofpoint:  Iraanse hackers richten zich op westerse beleidsdeskundigen

Proofpoint: Iraanse hackers richten zich op westerse beleidsdeskundigen

Recent onderzoek van Proofpoint toont aan hoe de Iraanse hackergroep TA453 (ook bekend als Charming Kitten, PHOSPHORUS en APT42) zich richt op mensen die gespecialiseerd zijn in Midden-Oosterse kwesties, nucleaire veiligheid en genoomonderzoek. Bij elke gerichte e-mailaanval gebruikt de groep meerdere valse identiteiten. De e-mails bootsen bestaan1

Verizon Mobile Security Index 2022: werken op afstand leidt tot een sterke toename van cybercriminaliteit

Verizon Mobile Security Index 2022: werken op afstand leidt tot een sterke toename van cybercriminaliteit

De traditionele 9-tot-5-werkdag op kantoor is verleden tijd. In plaats daarvan wordt in de huidige wereld van hybride werken verwacht dat men 'altijd aan staat'. Nu mensen steeds meer uren werken vanaf allerlei locaties en apparaten, worden bedrijven steeds kwetsbaarder voor cyberaanvallen. De Verizon Mobile Security Index (MSI) 2022 laat zien dat1