Tin tặc Iran nhắm vào các mục tiêu giá trị cao trong nghiên cứu an ninh hạt nhân và bộ gen

Các cuộc tấn công gián điệp mạng của Iran

Các tin tặc liên quan đến chính phủ Iran đã nhắm mục tiêu vào các cá nhân chuyên về các vấn đề Trung Đông, an ninh hạt nhân và nghiên cứu bộ gen như một phần của chiến dịch mới được thiết kế để săn tìm thông tin nhạy cảm.

Công ty bảo mật doanh nghiệp Proofpoint cho rằng các cuộc tấn công có chủ đích là do một tác nhân đe dọa có tên là TA453, đối tượng này thường trùng lặp với các hoạt động mạng được giám sát dưới các biệt danh APT42, Charming Kitten và Phosphorus.

Tất cả bắt đầu từ một email lừa đảo mạo danh các cá nhân hợp pháp tại các tổ chức nghiên cứu chính sách đối ngoại của phương Tây, cuối cùng được thiết kế để thu thập thông tin tình báo thay mặt cho Quân đoàn Vệ binh Cách mạng Hồi giáo Iran (IRGC).

Những nhân vật giả mạo bao gồm những người từ Trung tâm Nghiên cứu Pew, Viện Nghiên cứu Chính sách Đối ngoại (FRPI), Chatham House của Vương quốc Anh và tạp chí khoa học Nature. Kỹ thuật này được cho là đã được triển khai vào giữa tháng 6 năm 2022.

Điều khác biệt so với các cuộc tấn công lừa đảo khác là việc sử dụng chiến thuật Proofpoint gọi là Mạo danh đa nhân cách (MPI), trong đó tác nhân đe dọa sử dụng không phải một mà là một số nhân vật do diễn viên kiểm soát trong cùng một cuộc trò chuyện email để tăng cường cơ hội thành công.

Xem tiếp:   Tin tặc Iran có khả năng đứng sau các cuộc tấn công mạng gây rối chống lại chính phủ Albania

Ý tưởng là “tận dụng nguyên tắc tâm lý học về bằng chứng xã hội” và tăng tính xác thực của thư từ của tác nhân đe dọa để khiến mục tiêu mua vào kế hoạch, một chiến thuật thể hiện khả năng tiếp tục đẩy mạnh trò chơi của đối thủ.

“Đây là một kỹ thuật hấp dẫn vì nó đòi hỏi nhiều tài nguyên hơn được sử dụng cho mỗi mục tiêu – có khả năng đốt cháy nhiều cá tính hơn – và một cách tiếp cận phối hợp giữa các tính cách khác nhau được TA453 sử dụng”, Sherrod DeGrippo, phó chủ tịch nghiên cứu và phát hiện mối đe dọa tại Proofpoint, cho biết trong một tuyên bố.

Khi email ban đầu gợi ra phản hồi từ mục tiêu, sau đó, cá tính sẽ gửi một thông báo tiếp theo có chứa liên kết OneDrive độc ​​hại tải xuống tài liệu Office, một trong số đó ám chỉ đến một cuộc đụng độ giữa Nga và Mỹ.

Sau đó, tài liệu này sử dụng một kỹ thuật được gọi là chèn mẫu từ xa để tải xuống Korg, một mẫu bao gồm ba macro có khả năng thu thập tên người dùng, danh sách các quy trình đang chạy và địa chỉ IP công khai của nạn nhân.

Bên cạnh việc lọc thông tin báo hiệu, không có hành động hậu khai thác nào khác được quan sát thấy. Việc thiếu “bất thường” trong việc thực thi mã và hành vi ra lệnh và kiểm soát đã dẫn đến đánh giá rằng những người dùng bị xâm nhập có thể bị tấn công thêm dựa trên phần mềm đã cài đặt.

Xem tiếp:   Tin tặc sử dụng dịch vụ PPI PrivateLoader để phân phối phần mềm độc hại NetDooka mới

Đây không phải là lần đầu tiên kẻ đe dọa thực hiện các chiến dịch mạo danh. Vào tháng 7 năm 2021, Proofpoint tiết lộ một hoạt động lừa đảo có tên SpoofedScholars nhắm mục tiêu vào các cá nhân tập trung vào các vấn đề Trung Đông ở Hoa Kỳ và Vương quốc Anh dưới vỏ bọc là các học giả của Trường Nghiên cứu Phương Đông và Châu Phi (SOAS) của Đại học London.

Sau đó vào tháng 7 năm 2022, công ty an ninh mạng đã phát hiện ra những nỗ lực của TA453 nhằm giả dạng nhà báo để thu hút các học giả và chuyên gia chính sách nhấp vào các liên kết độc hại chuyển hướng mục tiêu đến các miền thu thập thông tin xác thực.

Tiết lộ được đưa ra trong bối cảnh bùng nổ hoạt động mạng có liên quan đến Iran. Tuần trước, Microsoft đã kết thúc một chuỗi các cuộc tấn công bằng ransomware được gắn kết bởi một nhóm con của Phosphorus có tên là DEV-0270 bằng cách sử dụng các mã nhị phân sống động như BitLocker.

Ngoài ra, công ty an ninh mạng Mandiant, hiện là một phần chính thức của Google Cloud, đã trình bày chi tiết các hoạt động của một kẻ gián điệp người Iran có tên mã là APT42 có liên quan đến hơn 30 hoạt động kể từ năm 2015.

Trên hết, Bộ Tài chính đã công bố các biện pháp trừng phạt chống lại Bộ Tình báo và An ninh Iran (MOIS) và Bộ trưởng Tình báo của nước này, Esmaeil Khatib, để đáp trả “các hoạt động được kích hoạt trên không gian mạng chống lại Hoa Kỳ và các đồng minh.”

Xem tiếp:   GitLab phát hành bản vá bảo mật cho lỗ hổng tiếp quản tài khoản quan trọng

Albania, quốc gia đã cắt đứt quan hệ ngoại giao với Iran sau khi đổ lỗi cho nước này về một loạt các hành vi tấn công mạng kể từ tháng 7, đã chỉ tay vào “những kẻ gây hấn” vào cuối tuần qua vì đã tiến hành một cuộc tấn công khác vào một hệ thống của chính phủ được sử dụng để theo dõi các cửa khẩu qua biên giới.

DeGrippo nói: “Những kẻ đe dọa có liên kết với nhà nước là một trong những người giỏi nhất trong việc tạo ra các chiến dịch được suy nghĩ kỹ lưỡng để tiếp cận các nạn nhân mà chúng mong muốn.

“Các nhà nghiên cứu liên quan đến an ninh quốc tế, đặc biệt là những người chuyên nghiên cứu về Trung Đông hoặc an ninh hạt nhân, nên duy trì ý thức cảnh giác cao độ khi nhận được các email không được yêu cầu.”

.

Related Posts

Check Also

Tin tặc chủ động khai thác lỗ hổng mới của tường lửa Sophos RCE

Công ty phần mềm bảo mật Sophos đã cảnh báo về các cuộc tấn công …