Operation SpoofedScholars - in gesprek met TA453

proofpoint

Sinds januari 2021 probeert TA453 gevoelige informatie van mensen te stelen door zich voor te doen als Britse academici van de School of Oriental and African Studies (SOAS) van de Universiteit van Londen. De cybercriminele groep is een APT en helpt volgens Proofpoint zeer waarschijnlijk de Islamic Revolutionary Guard Corps (IRGC) bij het verzamelen van informatie. TA453 gebruite backstopping voor zijn credential phishing-infrastructuur door een legitieme site van een hoog aangeschreven academische instelling te hacken. Daarmee werden gepersonaliseerde pagina's, vermomd als registratielinks, opgezet waarmee inloggegevens werden gestolen.

Tot de doelwitten behoorden deskundigen in het Midden-Oosten, hoogleraren van bekende academische instellingen, en journalisten die gespecialiseerd zijn in het Midden-Oosten. De aanvallen waren gedetailleerd en uitgebreid, vaak inclusief lange gesprekken voordat de volgende stap in de aanvalsketen werd uitgevoerd.

Zodra het gesprek tot stand was gebracht, stuurde TA453 een 'registratielink' naar een legitieme, maar gehackte website die toebehoorde aan de SOAS-radio van de Universiteit van Londen. De gehackte site was zo ingericht dat hij veel inloggegevens kon verzamelen.

Deze operatie, SpoofedScholars genoemd, vertegenwoordigt een van de meer geraffineerde TA453-campagnes die door Proofpoint zijn geïdentificeerd.

Chatten met TA453

Begin 2021 gebruikte iemand van TA453, “Dr.Hanns Bjoern Kendel, Senior Teaching and Research Fellow at SOAS University in London”, het e-mailadres hannse.kendel4[@]gmail.com om gesprekken aan te knopen met beoogde doelwitten. Hieronder volgt een samenvatting van zo’n gesprek dat werd waargenomen door Proofpoint Threat Research:

  • TA453 stuurde een eerste e-mail naar het doelwit met daarin een uitnodiging voor een online conferentie over "De Amerikaanse veiligheidsuitdagingen in het Midden-Oosten."
  • TA453 probeerde telefonisch contact te leggen met het individu om de uitnodiging te bespreken
  • Nadat het doelwit twijfelde en nadrukkelijk aangaf een schriftelijk voorstel met de details te willen, ging TA453 akkoord en werden de details van de conferentie gedeeld
  • Na wat berichten over en weer om de interesse van het doelwit te peilen, deelde TA453 een uitnodiging voor de zogenaamde conferentie (afbeelding 1). Het gesprek werd afgesloten met een poging van TA453 om het doelwit via videoconferencing te bereiken.

Gespreksanalyse

  • TA453 beheerst de Engelse taal redelijk goed en staat open voor gesproken communicatie via videoconferentie.
  • TA453 toont veel belangstelling voor mobiele telefoonnummers, mogelijk voor het gebruik van mobiele malware of extra phishing.
  • TA453 liet herhaaldelijk weten graag in real time in contact te willen komen met het doelwit.

Campagne-overzicht

Doelwitten

De doelwitten van TA453 in Operatie SpoofedScholars kunnen worden onderverdeeld in drie hoofdcategorieën die overeenkomen met interesses van de IRGC.

  • Senior personeel van denktanks
  • Journalisten gefocust op het Midden-Oosten
  • Hoogleraren

Deze groepen beschikken over informatie die van belang is voor de Iraanse regering. Het gaat onder meer om informatie over buitenlands beleid, inzicht in Iraanse extremistische groepen en inzicht in de Amerikaanse nucleaire onderhandelingen. Bovendien zijn de meeste doelwitten al eerder doelwit geweest van TA453. De doelwitten waren zeer zorgvuldig gekozen: volgens de gegevens van Proofpoint waren minder dan tien organisaties het doelwit.

Infrastructuur

Zodra TA453 wist wanneer het doelwit de uitnodiging zou accepteren, werd de gepersonaliseerde link met het beoogde slachtoffer gedeeld. De link leidde naar een "Webinar Control Panel" op een legitieme maar gehackte website van SOAS, een onderzoeksinstituut van de Universiteit van Londen. Volgens onderzoek van Proofpoint lijkt TA453 meer rechten te hebben waarmee ze credential harvesting-pagina's op soasradio[.]org konden creëeren. Andere pagina's op de site bevatten echter nog steeds legitieme SOAS-gelieerde inhoud.

 TA453 maakte de aanval geloofwaardiger door persona’s te gebruiken die zich voordeden als legitieme SOAS-leden om de schadelijke links te verspreiden. De getoonde website (Afbeelding 2) biedt gebruikers de mogelijkheid om "OpenID" te gebruiken om "in te loggen" bij wat grote mailproviders leken te zijn.

 Wanneer op een van de providers wordt geklikt, verschijnt in een pop-upvenster (Afbeelding 3) het daadwerkelijke credential phishing-venster. Bij de opties Google, Microsoft en E-mail wordt het e-mailadres van het doelwit automatisch ingevuld. Op basis van de verscheidenheid aan e-mailproviders, samen met TA453's aandringen dat het doelwit inlogde wanneer TA453 online was, vermoedt Proofpoint dat TA453 van plan was om de buitgemaakte inloggegevens meteen handmatig te verifiëren.

Maanden later begon TA453 Tolga Sinmazdemir, een andere aan SOAS verbonden persoon, te spoofen. Deze emails vroegen om bijdragen voor een "DIPS Conferentie" en zouden waarschijnlijk tot een soortgelijke aanvalsketen hebben geleid als hierboven. Half mei keerde TA453 terug, gebruikmakend van een ander e-mailadres (hanse.kendel4[@]gmail.com) om slachtoffers uit te nodigen voor een webinar.

Attributie

Analisten van Proofpoint kunnen niet met zekerheid bevestigen dat TA453 deel uitmaakt van de IRGC. Echter, de tactieken en technieken gebruikt door de groep en de doelwitten die zij uitkiezen, komen overeen met die van de IRGC.

Zo is ook de specifieke attributie voor Operation SpoofedScholars gebaseerd op TTP-gelijkenissen met eerdere campagnes van TA453 en samenhang met de targeting van TA453.

Conclusie

TA453 verkreeg illegaal toegang tot een website die toebehoorde aan een gerenommeerde academische instelling. De gehackte infrastructuur werd vervolgens gebruikt om de inloggegevens van hun beoogde doelwitten te verzamelen. Sommige van de geïdentificeerden lijken niet langer actief betrokken te zijn bij de activiteiten van TA453. Toch acht Proofpoint het zeer waarschijnlijk dat TA453 doorgaat met het spoofen van academici over de hele wereld. Dit ter ondersteuning van TA453's pogingen om informatie te verzamelen voor de Iraanse overheid.

Academici, journalisten en personeel van denktanks moeten voorzichtig zijn en de identiteit verifiëren van de personen met wie ze in contact komen.

Meer over
Lees ook
Miljard dollar gestolen in grootste digitale bankroof aller tijden

Miljard dollar gestolen in grootste digitale bankroof aller tijden

Een groep cybercriminelen heeft in twee jaar tijd maar liefst een miljard dollar weten buiten te maken bij banken en financiële instellingen. Kaspersky Lab spreekt van de allergrootste digitale bankroof aller tijde. De aanvallen zouden zijn uitgevoerd door Carbanak, een hackersgroep die wereldwijd actief is. Leden zouden onder andere uit China, Ru1

Des pirates détournent les données médicales de dizaines de millions d'Américains

Des pirates viennent à nouveau de mettre la main sur d'énormes quantités de données personnelles. En effet, des cybercriminels se sont introduits par effraction chez Anthem, l'un des plus gros assureurs médicaux des Etats-Unis pour y dérober les données clients de dizaines de millions d'Américains. Anthem a reconnu cette cyberattaque dans une déclaration. Des pirates se seraient introduits dans les systèmes IT de l'assureur pour y copier des informations personnelles de dizaines de millions de clients. Il s'agit notamment de noms, dates de naissance, numéros de sécurité sociale, ID médicales,1

Facebook lanceert platform om informatie over cybercrime uit te wisselen

Facebook wil bedrijven helpen cyberaanvallen effectiever en efficiënter aan te pakken door een platform op te zetten voor het delen van informatie over cybermisdaad. Bedrijven kunnen allerlei data over cyberaanvallen waarmee zij zijn geconfronteerd delen met andere bedrijven, die deze data kunnen inzetten om cyberaanvallen eerder op te sporen en beter aan te kunnen pakken. Het nieuwe platform heet ThreatExchange. Bedrijven die doelwit worden van cybercriminelen, kunnen data die zij over de aanval verzamelen op het platform delen met andere bedrijven. Denk hierbij aan malafide URL’s die worden1