Proofpoint: Iraanse hackers richten zich op westerse beleidsdeskundigen

Recent onderzoek van Proofpoint toont aan hoe de Iraanse hackergroep TA453 (ook bekend als Charming Kitten, PHOSPHORUS en APT42) zich richt op mensen die gespecialiseerd zijn in Midden-Oosterse kwesties, nucleaire veiligheid en genoomonderzoek. Bij elke gerichte e-mailaanval gebruikt de groep meerdere valse identiteiten. De e-mails bootsen bestaande identiteiten na van mensen die in dienst zijn bij westerse organisaties en onderzoek doen naar buitenlands beleid. Er worden nieuwe social engineering-tactieken gebruikt om informatie te verkrijgen uit naam van de Iraanse Revolutionaire Garde.

• TA453 creëert meerdere valse identiteiten in elke spear-phishingaanval en gebruikt sociaal bewijs om zijn doelwitten aan te vallen en de authenticiteit van de aanval te verhogen.

• TA453 doet zich onder meer voor als het PEW Research Center, Foreign Policy Research Institute (FRPI), Britse Chatham House en het wetenschappelijke tijdschrift Nature. Hierbij richten zij zich op mensen die informatie hebben over Israël en de Golfstaten, de Abraham-akkoorden en nucleaire wapens met betrekking tot een mogelijke botsing tussen de V.S. en Rusland.

• Proofpoint is van mening dat TA453 opereert ter ondersteuning van de Islamic Revolutionary Guard Corps (IRGC), met het doel gevoelige data en inlichtingen te stelen.

Het volledige onderzoek is hier beschikbaar.

"Staatsgelieerde cybercriminelen kunnen als geen ander doordachte social engineering campagnes opzetten om hun slachtoffers te bereiken. In dit geval zagen onze onderzoekers hoe TA453 zijn strategie aanscherpte door Multi-Persona Impersonation te gebruiken. Hierbij wordt sociaal bewijs gebruikt om het doelwit in hun oplichterij te laten geloven. Dit is een interessante tactiek omdat TA453 wellicht meerdere valse identiteiten moet gebruiken om geloofwaardiger over te komen. Onderzoekers die zich bezighouden met internationale veiligheid, met name degenen gespecialiseerd in het Midden-Oosten of nucleaire veiligheid, moeten extra waakzaam zijn wanneer zij ongevraagde e-mails ontvangen. Bijvoorbeeld, deskundigen die worden benaderd door journalisten moeten de website van de publicatie controleren om te zien of het e-mailadres wel degelijk toebehoort aan een betrouwbare journalist." aldus Sherrod DeGrippo, Vice President Threat and Research bij Proofpoint