Μια ομάδα hacking που υποστηρίζεται από το Ιράν – η TA453 – χρησιμοποιεί μια νέα, περίτεχνη τεχνική phishing όπου χρησιμοποιούν πολλαπλές προσωπικότητες και λογαριασμούς email για να παρασύρουν τους στόχους να σκεφτούν ότι πρόκειται για μια ρεαλιστική συνομιλία μέσω email.
Δείτε επίσης: WPGateway: Βρέθηκε σοβαρό zero-day bug στο WordPress plugin
Οι εισβολείς στέλνουν ένα email σε στόχους ενώ κάνουν CC μια άλλη διεύθυνση email υπό τον έλεγχό τους και στη συνέχεια απαντούν από αυτό το email, συμμετέχοντας σε μια ψεύτικη συνομιλία.
Δείτε επίσης: Η Trend Micro προειδοποιεί για ευπάθεια Apex One RCE
Ονομάστηκε «multi-persona impersonation» (MPI) από ερευνητές στο Proofpoint που το παρατήρησαν για πρώτη φορά, η τεχνική αξιοποιεί την ψυχολογική αρχή του «social proof» για να συσκοτίσει τη λογική σκέψη και να προσθέσει ένα στοιχείο αξιοπιστίας στα phishing threads.
Η TA453 είναι μια ιρανική ομάδα απειλών που πιστεύεται ότι δρα μέσα από το IRGC (Σώμα των Φρουρών της Ισλαμικής Επανάστασης), που στο παρελθόν φαίνεται να είχε υποδυθεί δημοσιογράφους με στόχο ακαδημαϊκούς και ειδικούς σε θέματα πολιτικής στη Μέση Ανατολή.
Απομίμηση πολλαπλών προσώπων
Η νέα τακτική της ομάδας TA453 απαιτεί πολύ περισσότερη προσπάθεια από την πλευρά της για να πραγματοποιήσει τις επιθέσεις phishing, καθώς κάθε στόχος πρέπει να παγιδευτεί σε μια περίτεχνη ρεαλιστική συνομιλία που διεξάγουν ψεύτικα πρόσωπα.
Ωστόσο, η επιπλέον προσπάθεια αποδίδει καρπούς, καθώς δημιουργεί μια ρεαλιστική ανταλλαγή email, η οποία κάνει τη συνομιλία να φαίνεται πραγματική.
Ένα παράδειγμα που κοινοποιήθηκε στην έκθεση της Proofpoint χρονολογείται από τον Ιούνιο του 2022, με τον αποστολέα να μεταμφιέζεται ως Διευθυντής Έρευνας στο FRPI και το email που εστάλη στον στόχο και να αναλαμβάνει Διευθυντή Παγκόσμιας Έρευνας Στάσεων στο Ερευνητικό Κέντρο PEW.
Την επόμενη μέρα, ο υποδυόμενος διευθυντής του PEW απάντησε στις ερωτήσεις που έστειλε ο διευθυντής του FRPI, δημιουργώντας μια ψευδή αίσθηση μιας ειλικρινούς συνομιλίας που θα δελέαζε τον στόχο στο να συμμετάσχει.
Σε μια άλλη περίπτωση που είδε η Proofpoint, στην οποία συμμετείχαν επιστήμονες που ειδικεύονται στην έρευνα του γονιδιώματος, η περσόνα CC απάντησε με έναν σύνδεσμο του OneDrive που οδήγησε στη λήψη ενός εγγράφου DOCX με κακόβουλες μακροεντολές.
Δείτε επίσης: Κλεμμένες ταυτότητες παιδιών πουλήθηκαν από κύκλωμα απάτης
Σε μια τρίτη επίθεση phishing MPI που εξαπέλυσε η ομάδα TA453 εναντίον δύο ακαδημαϊκών που ειδικεύονται στον έλεγχο των πυρηνικών όπλων, οι απειλητικοί φορείς έκαναν CC τρία πρόσωπα, προχωρώντας σε μια ακόμη πιο περίπλοκη επίθεση.
Σε όλες τις περιπτώσεις, οι απειλητικοί φορείς χρησιμοποίησαν προσωπικές διευθύνσεις ηλεκτρονικού ταχυδρομείου (Gmail, Outlook, AOL, Hotmail) τόσο για τους αποστολείς όσο και για τα άτομα που γίνονταν CC αντί για εταιρικές, γεγονός που αποτελεί σαφές σημάδι ύποπτης δραστηριότητας.
Το κακόβουλο payload
Τα έγγραφα που εξαπατήθηκαν να κατεβάσουν οι στόχοι μέσω συνδέσμων OneDrive στην πρόσφατη καμπάνια της TA453 είναι αρχεία με προστασία κωδικού πρόσβασης που εκτελούν template injection.
Οι ερευνητές δεν μπόρεσαν να ξεπεράσουν το στάδιο της αναγνώρισης πληροφοριών, αλλά υπέθεσαν ότι λαμβάνει χώρα πρόσθετο exploitation στα επόμενα βήματα για να δώσει στους απομακρυσμένους απειλητικούς παράγοντες δυνατότητες εκτέλεσης κώδικα στους hosts.
Πηγή πληροφοριών: bleepingcomputer.com
