Ngày 09 tháng 3 năm 2023Ravie LakshmananGián điệp mạng
Các diễn viên do nhà nước Iran tài trợ đang tiếp tục tham gia vào các chiến dịch kỹ thuật xã hội nhắm mục tiêu vào các nhà nghiên cứu bằng cách mạo danh một tổ chức tư vấn của Hoa Kỳ.
“Đáng chú ý là các mục tiêu trong trường hợp này là tất cả phụ nữ tích cực tham gia vào các vấn đề chính trị và nhân quyền ở khu vực Trung Đông,” Đơn vị Chống Đe dọa của Secureworks (CTU) cho biết trong một báo cáo được chia sẻ với The Hacker News.
Công ty an ninh mạng quy hoạt động này cho một nhóm hack mà họ theo dõi là Ảo ảnh cobanvà còn được biết đến với tên APT35, Charming Kitten, ITG18, Phosphorus, TA453 và Yellow Garuda.
Việc kẻ tấn công nhắm mục tiêu vào các học giả, nhà hoạt động, nhà ngoại giao, nhà báo, chính trị gia và nhà nghiên cứu đã được ghi chép rõ ràng trong nhiều năm.
Nhóm này bị nghi ngờ đang hoạt động thay mặt cho Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC) và đã thể hiện mô hình sử dụng các nhân vật giả để thiết lập liên lạc với các cá nhân có lợi ích chiến lược đối với chính phủ.
“Cobalt Illusion thường tương tác với các mục tiêu của nó nhiều lần trên các nền tảng nhắn tin khác nhau,” SecureWorks cho biết. “Đầu tiên, các tác nhân đe dọa gửi các liên kết và tài liệu lành tính để xây dựng mối quan hệ. Sau đó, chúng gửi một liên kết hoặc tài liệu độc hại để lừa đảo thông tin đăng nhập cho các hệ thống mà Cobalt Illusion tìm cách truy cập.”
Đứng đầu trong số các chiến thuật của nó bao gồm tận dụng việc thu thập thông tin xác thực để giành quyền kiểm soát hộp thư của nạn nhân cũng như sử dụng các công cụ tùy chỉnh như HYPERSCRAPE (còn gọi là EmailDownloader) để đánh cắp dữ liệu từ các tài khoản Gmail, Yahoo! và Microsoft Outlook bằng cách sử dụng mật khẩu bị đánh cắp.
Một phần mềm độc hại riêng biệt khác được liên kết với nhóm là công cụ “lấy” Telegram dựa trên C ++, tạo điều kiện thuận lợi cho việc thu thập dữ liệu trên quy mô lớn từ các tài khoản Telegram sau khi có được thông tin đăng nhập của mục tiêu.
Hoạt động mới nhất liên quan đến việc kẻ thù giả làm nhân viên của Hội đồng Đại Tây Dương, một tổ chức tư vấn có trụ sở tại Hoa Kỳ, và liên hệ với các nhà nghiên cứu về các vấn đề chính trị và nhân quyền với lý do đóng góp cho một báo cáo.
Để làm cho mưu mẹo thuyết phục, các tài khoản mạng xã hội được liên kết với nhân vật lừa đảo “Sara Shokouhi” (@SaShokouhi trên Twitter và @sarashokouhii trên Instagram) tuyên bố có bằng tiến sĩ về chính trị Trung Đông.
Hơn nữa, ảnh hồ sơ trong các tài khoản này, theo SecureWorks, được cho là được lấy từ tài khoản Instagram của một nhà tâm lý học và người đọc bài tarot có trụ sở tại Nga.
Không rõ liệu nỗ lực này có dẫn đến bất kỳ cuộc tấn công lừa đảo thành công nào hay không. Tài khoản Twitter, được tạo vào tháng 10 năm 2022, vẫn hoạt động cho đến nay cũng như tài khoản Instagram.
“Lừa đảo và thu thập dữ liệu hàng loạt là chiến thuật cốt lõi của Cobalt Illusion,” Rafe Pilling, nhà nghiên cứu chính và trưởng nhóm chuyên đề về Iran tại SecureWorks CTU, cho biết trong một tuyên bố.
“Nhóm đảm nhận việc thu thập thông tin tình báo, thường là thông tin tình báo tập trung vào con người, như trích xuất nội dung của hộp thư, danh sách liên lạc, kế hoạch du lịch, các mối quan hệ, vị trí thực tế, v.v. Thông tin tình báo này có thể được trộn lẫn với các nguồn khác và được sử dụng để thông báo cho các hoạt động quân sự và an ninh của Iran , nước ngoài và trong nước.”
