Lectura oscura | Seguridad | Proteja el negocio



TA453, un actor de amenazas que los investigadores de seguridad han vinculado previamente al Cuerpo de la Guardia Revolucionaria de Irán (IRGC), ha lanzado una nueva campaña de phishing dirigida a personas centradas en los asuntos de Oriente Medio en los EE. UU. Y el Reino Unido.

Los investigadores de Proofpoint que detectaron la campaña la están rastreando como «Operación SpoofedScholars» porque los correos electrónicos de phishing que se envían a las víctimas supuestamente provienen de académicos de la Escuela de Estudios Orientales y Africanos de la Universidad de Londres (SOAS).

Hasta ahora, la campaña ha afectado a personas de menos de 10 organizaciones. Pero al igual que con todos los ataques TA453, este también tiene un enfoque limitado y está diseñado para ingresar y robar datos de las bandejas de entrada de correo electrónico oficiales que pertenecen a personas de probable interés para el gobierno iraní. Además de las cuentas de correo electrónico de la oficina, Proofpoint dice que observó a los atacantes que intentaban obtener acceso a las bandejas de entrada de correo electrónico personales que pertenecen al menos a una de las víctimas previstas.

Algunas organizaciones tenían varias personas que fueron atacadas en la campaña, y algunas personas fueron atacadas con correos electrónicos de múltiples personas falsificadas, dice el proveedor de seguridad. Los objetivos de la campaña hasta ahora incluyen private senior de believe tanks, periodistas y profesores y académicos enfocados en asuntos de Oriente Medio, dice Sherrod DeGrippo, director senior de investigación y detección de amenazas en Proofpoint.

«Si bien Proofpoint observó por última vez este grupo específico de actividad a fines de junio de 2021, TA453 realiza continuamente operaciones de phishing similares y es possible que se pueda engañar a otros académicos en el futuro», dice.

TA453, también conocido como «Gatito encantador», «Fósforo» y varios otros nombres, es un conocido actor de amenazas iraní. Los proveedores de seguridad creen que una de sus misiones principales es apoyar los esfuerzos de recopilación de inteligencia del IRGC al espiar a las personas que probablemente tengan información de interés para el gobierno iraní. El enfoque del grupo incluye información sobre los disidentes iraníes, inteligencia sobre la política exterior que afecta a Irán y datos sobre las negociaciones nucleares de Estados Unidos.

En marzo de 2021, Proofpoint observó que TA453 se desviaba de su enfoque ordinary con un campaña de phishing destinado a obtener acceso a cuentas de correo electrónico pertenecientes a profesionales médicos estadounidenses e israelíes que realizan investigaciones en áreas como genética, oncología y neurología. En ese momento, el proveedor de seguridad supuso que el nuevo objetivo period una respuesta a un requisito de recopilación de inteligencia a corto plazo o una ampliación a largo plazo del enfoque al robo de investigación médica.

Con el Campaña SpoofedScholars, TA453 envió correos electrónicos a personas específicas que parecían ser de dos profesores de la SOAS de la Universidad de Londres.

El primer correo electrónico pretendía ser sobre una conferencia en línea sobre «Los desafíos de seguridad de Estados Unidos en el Medio Oriente». Los destinatarios recibieron lo que parecía ser una invitación para hablar en el evento seguido de lo que Proofpoint describió como intentos «detallados y extensos» de los atacantes de conectarse con las víctimas antes de que se les presentara un enlace para registrarse en la conferencia ficticia. «TA453 a menudo solicitaba el número de teléfono del individuo, posiblemente para contactarlo telefónicamente para discutir la invitación y verificar el interés del objetivo», dice DeGrippo. «También es posible que TA453 haya planeado implementar malware dirigido a dispositivos móviles. TA453 proporcionó una invitación detallada a la conferencia falsa para que parezca legítima», dice.

Sitio website falso
Como parte de un esfuerzo por dar credibilidad a sus ataques de phishing, los actores de la amenaza se comprometieron y utilizaron un sitio website que pertenece a la radio SOAS de la Universidad de Londres para alojar páginas de recolección de credenciales. A las personas que llegaron al sitio net comprometido se les presentó un panel de management de seminarios world wide web que parecía ser parte del sitio net legítimo de radio SOAS. Se les invitó a iniciar sesión con credenciales en sus cuentas de Outlook, Gmail, Yahoo, AOL y otras cuentas de correo electrónico. La página se configuró de tal manera que cuando los usuarios intentaron iniciar sesión a través de Google y Microsoft, sus direcciones de correo electrónico se completaron automáticamente.

El uso de TA453 de un sitio web legítimo pero comprometido para alojar páginas de phishing es una desviación de su hábito recurring, dice DeGrippo. «TA453 generalmente united states of america páginas de phishing controladas por actores para recolectar las credenciales de sus objetivos, similar a la campaña sobre la que informamos en marzo de 2021», dice. «El uso de un sitio comprometido, especialmente uno tan real, como SOAS, para el interés de TA453, es muy inusual y más sofisticado para este grupo».

Según Proofpoint, otros aspectos notables de la campaña incluyen las habilidades pasables del idioma inglés que TA453 demostró en sus conversaciones con víctimas potenciales, su interés en perseguir números móviles y un deseo reiterado de conectarse con objetivos en tiempo actual.



Enlace a la noticia initial