"TA453 wijkt af van verwachtingen"
De Iraanse hackersgroep TA453 is de afgelopen jaren behoorlijk druk geweest. Alleen al in 2022 namen onderzoekers van Proofpoint waar dat deze groep een social engineering-techniek gebruikte die we Multi-Persona Impersonation noemen.
Overzicht
Proofpoint volgt een zestal subgroepen van TA453, die zich vooral onderscheiden door het kiezen van verschillende doelwitten, aanvalsmethoden en infrastructuur. Eén ding is echter bij elke aanval hetzelfde: de hackersgroep richt zich op academici, beleidsmakers, diplomaten, journalisten, mensenrechtenactivisten, dissidenten en onderzoekers met expertise in het Midden-Oosten. De door TA453 geregistreerde e-mailaccounts komen meestal inhoudelijk overeen met hun doelwitten en gebruiken bij voorkeur web beacons in hun e-mailcampagnes. TA453 vertrouwt sterk op persoonlijke gesprekken om in contact te komen met doelwitten. Zo nam Proofpoint in 2022 meer dan 60 van dit soort aanvallen waar. TA453 gebruikt bijna altijd credential harvesting links (een vorm van phishing) om toegang te krijgen tot de inbox van een doelwit. Sommige subgroepen praten wekenlang met elkaar voordat ze de kwaadaardige links afleveren, terwijl anderen de link gelijk in de eerste e-mail al versturen.
TA453 breidt zijn methoden en doelgroepen uit
Vanaf eind 2020 begonnen onderzoekers van Proofpoint aanvallen waar te nemen die afweken van de gebruikelijke methoden van TA453. Deze kregen weinig of geen aandacht, daarom besloot Proofpoint de inzichten in dit rapport te delen. De aanvallen maakten met name gebruik van methoden die niet eerder werden geassocieerd met de e-mailaanvallen van TA453, zoals:
Gecompromitteerde accounts
In sommige gevallen gebruikte een subgroep van TA453 gecompromitteerde accounts om personen aan te vallen in plaats van accounts die door hackers werden beheerd. h3>Zo werd in 2021, ongeveer vijf dagen nadat een Amerikaanse ambtenaar zich publiekelijk uitsprak over de onderhandelingen rond het Joint Comprehensive Plan of Action (JCPOA), de persvoorlichter van de ambtenaar het doelwit van aanval.
Malware
In de herfst van 2021 werd GhostEcho (CharmPower), een PowerShell-backdoor, verzonden naar verschillende diplomatieke missies in Teheran. GhostEcho is een lichtgewicht eerste fase backdoor die wordt gebruikt voor spionage, zo blijkt uit onderzoek van CheckPoint. Op basis van overeenkomsten in de bezorgtechnieken vermoedt Proofpoint dat GhostEcho eind 2021 ook werd geleverd aan vrouwenrechtenactivisten, maar de payload was niet beschikbaar ten tijde van Proofpoints analyse.
Lokmiddelen
TA453 gebruikt één personage in het bijzonder, Samantha Wolf, voor social engineering, bedoeld om het gevoel van onveiligheid en angst van een doelwit te gebruiken om hen te laten reageren op e-mails van de hackers. Samantha heeft deze lokmiddelen, waaronder thema's als auto-ongelukken en algemene klachten, verzonden naar Amerikaanse en Europese politici en overheidsinstanties, een energiebedrijf in het Midden-Oosten en een Amerikaanse academicus. Meer hierover is te lezen op de blog van Proofpoint: https://www.proofpoint.com/us/blog/threat-insight/ta453-refuses-be-bound-expectations
Meer over
Lees ook
Microsoft heeft meeste NSA-exploits al gedicht
Opnieuw zijn verschillende hacktools, exploits en documenten van de NSA online gepubliceerd door de cybercrimegroepering Shadow Brokers. Ditmaal bevat de data onder andere een reeks exploits waarmee verschillende verouderde versies van het besturingssysteem Windows kunnen worden aangevallen. Microsoft meldt dat de meeste van deze exploits al zijn1
Een op de vijf organisaties is in 2016 getroffen door meer dan vijf cyberinbraken
87% van de organisaties is in 2016 getroffen door een cyberinbraak. Bij één op de vijf organisaties werd in de afgelopen twaalf maanden zelfs meer dan vijf keer ingebroken door cybercriminelen. Dit blijkt uit onderzoek van databeveiliger Bitglass in samenwerking met CyberEdge Group en Information Security Community op LinkedIn onder 3.000 IT prof1