Nasjonalt senter cybersikkerhet of Great Britain (NCSC) rapporterer regelmessige cyberangrep utført av hackere fra Russland og Iran.
I følge ekspertrapporten bruker hackergruppene SEABORGIUM (aka Callisto Group/TA446/COLDRIVER/TAG-53) og TA453 (aka APT42/Charming Kitten/Yellow Garuda/ITG18) målrettede phishing-teknikker for å angripe institusjoner og privatpersoner med det formål å samle informasjon.
Selv om disse to gruppene ikke er i ledtog, er de på en eller annen måte atskilt fra hverandre angrep samme type organisasjoner, som i fjor omfattet statlige organer, frivillige organisasjoner, organisasjoner i forsvars- og utdanningssektorene, samt enkeltpersoner som politikere, journalister og aktivister.
Målrettet phishing er så å si en sofistikert teknikk phishing, når en angriper retter seg mot en bestemt person og later som han har informasjon av spesiell interesse for offeret. Når det gjelder SEABORGIUM og TA453, sørger de for dette ved å utforske fritt tilgjengelige ressurser for å lære om målet deres.
Begge gruppene opprettet falske profiler på sosiale medier og utga seg for å være bekjente av ofrene eller eksperter på deres felt og journalister. Det er vanligvis ufarlig kontakt i begynnelsen ettersom SEABORGIUM og TA453 prøver å bygge et forhold til offeret for å vinne deres tillit. Eksperter bemerker at dette kan vare i en lang periode. Hackere sender deretter en ondsinnet lenke, bygger den inn i en e-post eller i et delt dokument til Microsoft One Drive eller Google Drive.
I midten cybersikkerhet rapporterte at "i ett tilfelle arrangerte [TA453] til og med et Zoom-anrop for å dele en ondsinnet URL i chatten under samtalen." Det er også rapportert om bruk av flere falske identiteter i et enkelt phishing-angrep for å øke troverdigheten.
Å følge lenkene tar vanligvis offeret til en falsk påloggingsside kontrollert av angriperne, og etter å ha skrevet inn legitimasjonen deres, blir de hacket. Hackere får deretter tilgang til ofrenes e-postinnbokser for å stjele e-poster, vedlegg og omdirigere innkommende e-poster til kontoene deres. I tillegg bruker de de lagrede kontaktene i den kompromitterte e-posten for å finne nye ofre i påfølgende angrep og starte prosessen på nytt.
Hackere fra begge gruppene bruker kontoer fra vanlige e-postleverandører for å lage falske ID-er når de først samhandler med et mål. De opprettet også falske domener for tilsynelatende legitime organisasjoner. Bedrift fra cybersikkerhet Proofpoint, som har sporet Irans TA2020-gruppe siden 453, gjenspeiler stort sett NCSCs funn: "[TA453]-kampanjer kan begynne med uker med vennlige samtaler med hacker-opprettede kontoer før man forsøker å hacke." De bemerket også at gruppens andre mål inkluderte medisinske forskere, en romfartsingeniør, en eiendomsmegler og reisebyråer.
I tillegg ga firmaet følgende advarsel: «Forskere som jobber med internasjonale sikkerhetsspørsmål, spesielt de som spesialiserer seg på Midtøsten eller atomsikkerhetsstudier, bør utvise økt årvåkenhet når de mottar uønskede e-poster. Eksperter kontaktet av journalister bør for eksempel sjekke publikasjonens nettsted for å sikre at e-postadressen tilhører en legitim journalist."
Også interessant: