Nep-uitnodigingen voor podcast met nieuwe BlackSmith malware-toolkit
|
Afbeelding 1. Voorbeeld van TA453 die zich in Juli voordeed als iemand van ISW. |
Nieuw onderzoek van cybersecuritybedrijf Proofpoint toont aan dat de cybercriminele groep TA453 vanaf 22 juli 2024 via meerdere e-mailadressen een prominent Joods persoon aanviel. Hierbij deed TA453 zich voor als de onderzoeksdirecteur van het Institute for the Study of War (ISW). De oplichter stuurde het doelwit via zowel het e-mailadres van de organisatie als via het persoonlijke mailadres een uitnodiging voor het deelnamen aan een ‘podcast’ van ISW. Na reactie van de ontvanger stuurde de hackgroep een DocSend URL wat beveiligd was met een wachtwoord. Uiteindelijk kwam de ontvanger bij een tekstbestand met daarin een link naar de ‘ISW Podcast’, de dekmantel van TA453. Waarschijnlijk probeerde TA453 het doelwit af te leiden door hen een wachtwoord in te laten voeren, zodat het slachtoffer hetzelfde zou doen tijdens het afleveren van de malware. De Spoofing-acties komen overeen met andere TA453-phishingaavallen die de Google Threat Intellingence Group eerder deze maand rapporteerden. |
|
|
Afbeelding 2. DocSend content met het thema Podcast. |
Een ander voorbeeld van de acties van TA453 is dat de cybercriminele groep reageert met een Google Drive URL, die een zogenaamd podcastplan bevat. Het plan bevatte een LNK dat de BlackSmith toolset aflevert die uiteindelijk de AnvilEcho Powershell Trojan van TA453 bezorgd. |
|
Afbeelding 3. Valse podcastuitnodiging met een kwaadaardige URL. |
Verschillende staatsdreigingen phishen meerdere e-mailadressen die gekoppeld zijn aan een doelwit. Een voorbeeld hiervan zijn de acties van TA427. Deze groep bewijst zichzelf door het versturen van e-mails vanaf ‘understandingthewar[.]org’ en door het noteren van een Hotmail-account, beheerd door deze hackersgroep, in de e-mailhandtekening. Malware en social engineering TA453 gebruikt veel social engineering-technieken voor het overhalen van de doelwitten. Hierbij bouwt de hacker een vertrouwensband op met de gedupeerde, bijvoorbeeld door het sturen van legitieme koppelingen en het verwijzen naar een echte podcast van een gespoofde organisatie. Door het opbouwen van een band met het slachtoffer, vergroot de kans op uitbuiting. TA453 heeft met BlackSmith een geavanceerde toolkit voor het verzamelen van informatie. De malwarefuncties zijn gestroomlijnd en gaan van een individuele reeks afzonderlijke scrips tot een full-service PowerShell-trojan. Inlichtingen verzamelen De IRGC-IO verzamelt inlichtingen en voert operaties uit ter ondersteuning van verschillende verantwoordelijkheden. De richtlijn leidde eerder tot aanvallen van een reeks diplomatieke en politieke entiteiten – van ambassades in Teheran tot Amerikaanse politieke campagnes. “Phishing-campagnes van TA453, die Proofpoint heeft verstoord, tonen consequent de prioriteiten van de IRGC”, zegt Joshua Miller, APT Threat Researcher bij Proofpoint. “De inzet van malware die zich richt op een prominent Joods figuur ondersteunt waarschijnlijk de cyberinspanningen van Iran tegen Israëlische belangen. TA453 is een hardnekkige, consistente dreiging tegen politici, mensenrechtenactivisten en academici.” Proofpoint ziet dat TA453 overeenkomt met Microsoft’s Mint Sandstorm, Mandiant’s APT42 en PWC’s Yellow Garua. Deze kunnen allemaal beschouwd worden als Charming Kitten. Lees hier het volledige Engelstalige bericht. |