Logotyp serwisu CyberDefence24
Reklama

Nowy phishing z Iranu. Odpowiada za niego znana grupa

Autor. Christiaan Colen/flickr.com/CC BY-SA 2.0.

Irańska grupa APT, Educated Manticore, od kilku lat prowadzi ataki spear-phishingowe i jest monitorowana przez ekspertów cyberbepieczeństwa. Jednakże, po wybuchu wojny izraelsko-irańskiej, zaobserwowano nową kampanię w jej wykonaniu.

Educated Manticore jest identyfikowana jako grupa APT42 i twierdzi, że działa w ramach Organizacji Wywiadowczej Korpusu Strażników Rewolucji Islamskiej (IRGC-IO). Jej podstawową taktyką jest spear-phishing, zaś celem są osoby z sektora rządowego, wojskowego, badawczego, medialnego i politycznego”.

W ataku typu spear-phishing atakujący podaje się za konkretną osobę, organizację, która wzbudzi zaufanie ofiary. Przygotowane są one w sposób staranny i spersonalizowany. Atakujący wybierają cel i przeprowadzają dokładne rozpoznanie. Im więcej informacji pozyskają, tym większa szansa, że uda się oszukać ofiarę.

Grupa najczęściej podszywała się za osoby wysoko postawione, dziennikarzy czy naukowców, aby uwiarygodnić swoje działania. Jak zauważył Check Point Research, w nowej kampanii grupa zaczęła się podszywać za firmy z sektora cyberbezpieczeństwa.

Czytaj też

Reklama

Nowa taktyka grupy APT

Eksperci cyberbezpieczeństwa oraz informatyki z izraelskich uniwersytetów byli celem kampanii, która rozpoczęła się mniej więcej w połowie czerwca. Jak informuje Check Point Research, przestępcy kontaktowali się za pomocą wiadomości e-mail oraz WhatsApp’a, twierdząc, że są pracownikami firm z sektora cyberbezpieczeństwa.

Pierwsze maile jak i wiadomości na WhatsApp’ie nie zawierały podejrzanych linków,  a forma w jakiej były napisane nie wzbudzała podejrzeń. Początkowo proponowali spotkanie osobiście w Tel Awiwie, co mogło być taktyką mającą na celu szybsze skłonienie do spotkania zdalnego.

Na łamach CyberDefence24.pl omówiliśmy podobną technikę ataku. Stosowała go rosyjska grupa, która próbowała zdobyć zaufanie brytyjskiego eksperta ds. operacji informacyjnych. Podając się za amerykańską instytucję państwową, zaproponowali udział w spotkaniu jako konsultant. W momencie, kiedy ofiara odmówiła ze względu na osobisty terminarz, zaproponowano zalogowanie się do dedykowanej „rządowej” aplikacji, która pozwoli mu się połączyć. Aplikacja, w rzeczywistości, miała wykraść dane do logowania, po podaniu kodu weryfikacyjnego.

Tak jak w tym przypadku, irańska grupa wysyłała ofiarom link do spotkania online. Ofiara najpierw jest pytana o adres e-mail (w przypadku WhatsApp’a), co nie jest jeszcze niczym podejrzanym. Po otrzymaniu tych danych, atakujący wpisuje je na stronie phishingowej. Dzięki temu ofiara po wejściu w link ma wrażenie, że jest to prawdziwa strona do logowania Google.

Zestaw phishingowy używany przez Educated Manticore jest zaimplementowany jako aplikacja jednostronicowa (SPA) zbudowana w React. Jest on ściśle powiązany, zminifikowany i zaciemniony. Kod strony głównej jest bardzo lakoniczny, ponieważ cały widoczny interfejs użytkownika jest dynamicznie renderowany” - zauważają eksperci z Check Point Research.

Czytaj też

Reklama

Fałszywe linki do platform Google mają uśpić czujność

Ofiary również otrzymują linki do spotkań na Google Meet. Na pierwszy rzut oka dla osoby, która nie jest świadoma zagrożenia, link może wydawać się wiarygodny.  W poniższym przypadku ofiara sama utworzyła spotkanie na Google Meet, a atakujący podsyła swój link do fałszywej strony.

Po kliknięciu w link pojawia się strona łudząco podobna do interfejsu spotkania w Google Meet. Ofiara chcąć dołaczyć do spotkania, jest przekierowywana do fałszywego procesu uwierzytelniania.

Czytaj też

Reklama

Spear-phishing jest szczególnie niebezpieczny

Grupa stworzyła również podobne strony phishingowe imitujące m.in. pocztę Outlook czy Yahoo e-mail. Spear-phishing jest na tyle dopracowanym atakiem, że nawet eksperci od cyberbezpieczeństwa mogą zostać oszukani. Z niezwykłą dokładnością przygotowywane są wiadomości do ofiar, a także strony, które mają wykraść dane.

Sygnały o tym, że działania mogą być podejrzane, są niemalże niezauważalne. Eskalacja konfliktu izraelsko-irańskiego spowodowała, że to właśnie izraelscy eksperci cyberbezpieczeństwa, dziennikarze oraz naukowcy są celem irańskiej grupy APT oraz jej działań.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].

Reklama
Reklama

SK@NER: Jak przestępcy czyszczą nasze konta?

Komentarze

    Reklama

    Czytaj także

    Duży incydent w Hiszpanii. Wyciekły dane premiera i rządu
    Wizy edukacyjne do USA. Znamy stanowisko UODO
    Apple wprowadza zmiany. Efekt postępowania KE
    Sejm uprości dostęp do danych. mObywatel zyska nowe funkcje
    #CyberWojska Danii - zintegrowane struktury i elastyczność operacyjna
    Ransomware, czyli poważne zagrożenie dla polskich organizacji
    Ataki ransomware. Jak się przed nimi skutecznie chronić?
    Problem Muska w Unii Europejskiej - chodzi o sztuczną inteligencję
    AI jako fact-checker na wojnie izraelsko-irańskiej
    Cyberatak na Synnovis przyczynił się do śmierci pacjenta