.
Uma gangue iraniana de espionagem cibernética ligada ao Corpo da Guarda Revolucionária Islâmica aprendeu novos métodos e técnicas de phishing e os direcionou a um conjunto mais amplo de alvos – incluindo políticos, funcionários do governo, infraestrutura crítica e pesquisadores médicos – de acordo com o fornecedor de segurança de e-mail Proofpoint.
Nos últimos dois anos, o grupo de agentes de ameaças que os pesquisadores da Proofpoint rastreiam como TA453 (outras equipes de inteligência chamam essa gangue apoiada pelo estado de gatinho encantador, Fósforoe APT42) se ramificou de suas vítimas habituais – acadêmicos, pesquisadores, diplomatas, dissidentes, jornalistas e defensores dos direitos humanos – e adotou novos meios de ataque.
Embora as campanhas de e-mail anteriores do grupo muitas vezes implantassem web beacons inseridos em mensagens que acabavam levando a credenciais roubadas, a Proofpoint observou campanhas “outlier” nos últimos dois anos que usavam “técnicas de phishing novas no TA453, incluindo contas comprometidas, malware e iscas de confronto”.
“A Proofpoint julga com confiança moderada que esta atividade atípica reflete o suporte dinâmico do TA453 para Ad hoc Requisitos de inteligência do Corpo da Guarda Revolucionária Islâmica (IRGC)”, Joshua Miller e Crista Giering escreveu.
Os novos alvos e táticas da gangue também fornecem uma visão melhor do “apoio potencial do TA453 à vigilância do IRGC e tentativas de operações cinéticas”, incluindo assassinato de aluguel e planos de sequestrode acordo com Proofpoint.
Em setembro, o negócio de pesquisa de ameaças Mandiant do Google também ligado este grupo de espionagem cibernética ao IRGC do Irã, que conspirou para assassinar cidadãos americanos, incluindo o ex-Conselheiro de Segurança Nacional John Bolton.
Além dos laços da gangue do crime cibernético com o IRGC, os pesquisadores do Proofpoint observaram “com confiança moderada que a atividade mais agressiva poderia representar a colaboração com outro ramo do estado iraniano, incluindo o Força Quds do IRGC.”
Quds é o braço secreto do IRGC responsável por suas operações estrangeiras e apoio a atores não estatais como o Hezbollah e o Hamas. Os EUA designaram o IRGC e a Força Quds como organizações terroristas.
A pesquisa da Proofpoint também detalha alguns dos outros “anormais” das campanhas TA453, incluindo tentativas de dezembro de 2020 de profissionais médicos de phishing que pesquisam genética, neurologia e oncologia nos Estados Unidos e em Israel. Essa campanha de 2021 teve como alvo as contas de e-mail de um engenheiro aeroespacial e pesquisadores médicos, usando uma técnica de representação de engenharia social chamada Representação de várias personas.
Esses esforços fazem com que os invasores usem pelo menos duas pessoas em um único segmento de e-mail para convencer os alvos de que enviaram mensagens legítimas.
A Proofpoint também observou o TA453 visando “várias” agências de viagens com sede em Teerã com links de coleta de credenciais. “O direcionamento de agências de viagens é consistente com os requisitos de coleta de agências de inteligência tanto do movimento de iranianos fora do Irã quanto de viagens domésticas”, escreveram os pesquisadores.
Os alvos do TA453 tendem a ser inimigos conhecidos da República Islâmica, como mulheres, indivíduos LGBTQ e oficiais militares dos EUA. Proofpoint documenta os criminosos usando um endereço do Gmail em uma campanha de phishing contra um corretor de imóveis da Flórida que estava vendendo várias casas localizadas perto da sede do Comando Central dos EUA e enviando e-mails de phishing para estudiosos de estudos de gênero e mulheres em universidades norte-americanas.
Algumas das técnicas de ataque de e-mail mais recentes da gangue incluem o uso de contas comprometidas (em oposição às contas controladas por TA453) com encurtadores de URL como bnt2[.]ao vivo e nco2[.]live que redirecionou as vítimas para as páginas de coleta de credenciais TA453.
“Por exemplo, em 2021, aproximadamente cinco dias depois que um funcionário do governo dos EUA comentou publicamente sobre o Plano de Ação Integral Conjunto (JCPOA) negociações, o secretário de imprensa do funcionário foi alvo de uma conta de e-mail comprometida de um repórter local”, de acordo com os pesquisadores da Proofpoint.
A Proofpoint e a CheckPoint Research também documentam o TA453 usando Malware GhostEcho – um backdoor do PowerShell mais recente usado para fornecer spyware adicional aos dispositivos visados.
E em outra tática notável, os espiões cibernéticos usaram a mesma persona falsa – “Samantha Wolf” – em campanhas de engenharia social enviadas a políticos e entidades governamentais dos EUA e da Europa, uma empresa de energia do Oriente Médio e um acadêmico americano. ®
.
