Gli hacker legati al governo iraniano hanno preso di mira persone specializzate in affari mediorientali, sicurezza nucleare e ricerca genomica nell’ambito di una nuova campagna di social engineering volta alla ricerca di informazioni sensibili.
Tutto ha inizio con un’e-mail di phishing che impersona persone legittime presso organizzazioni occidentali di ricerca sulla politica estera e che, in ultima analisi, è progettata per raccogliere informazioni per conto del Corpo delle guardie rivoluzionarie islamiche iraniane (IRGC).
Tra gli account dei sock puppet figurano persone del Pew Research Center, del Foreign Policy Research Institute (FRPI), della Chatham House del Regno Unito e della rivista scientifica Nature. La tecnica sarebbe stata utilizzata a metà giugno 2022.
Tuttavia, ciò che differenzia questo attacco da altri attacchi di phishing è l’uso di una tattica che Proofpoint chiama Multi-Persona Impersonation (MPI), in cui l’attore della minaccia impiega non uno ma diversi personaggi controllati dall’attore nella stessa conversazione via e-mail per aumentare le probabilità di successo.
L’idea è quella di “sfruttare il principio psicologico della riprova sociale” e di aumentare l’autenticità della corrispondenza dell’attore della minaccia in modo da indurre l’obiettivo ad accettare lo schema, una tattica che dimostra la continua capacità dell’avversario di migliorare il proprio gioco.
“Si tratta di una tecnica intrigante perché richiede l’utilizzo di più risorse per ogni obiettivo – potenzialmente bruciando più personas – e un approccio coordinato tra le varie personalità utilizzate da TA453”, ha dichiarato in un comunicato Sherrod DeGrippo, vicepresidente della ricerca e del rilevamento delle minacce di Proofpoint.
Una volta che l’e-mail iniziale suscita una risposta da parte dell’obiettivo, il personaggio invia un messaggio di follow-up contenente un link OneDrive dannoso che scarica un documento di Microsoft Office, uno dei quali allude presumibilmente a uno scontro tra Russia e Stati Uniti.
Questo documento utilizza successivamente una tecnica chiamata remote template injection per scaricare Korg, un modello composto da tre macro in grado di raccogliere i nomi utente, un elenco di processi in esecuzione e gli indirizzi IP pubblici delle vittime.
Oltre all’esfiltrazione delle informazioni di beaconing, non sono state osservate altre azioni successive all’exploit. L’assenza “anomala” di esecuzione di codice e di comportamenti di comando e controllo ha portato a valutare che gli utenti compromessi potrebbero essere soggetti a ulteriori attacchi basati sul software installato.
Non è la prima volta che l’attore delle minacce intraprende campagne di impersonificazione. Nel luglio 2021, Proofpoint ha rivelato un’operazione di phishing denominata SpoofedScholars che ha preso di mira persone che si occupano di affari mediorientali negli Stati Uniti e nel Regno Unito sotto le spoglie di studiosi della School of Oriental and African Studies (SOAS) dell’Università di Londra.
Poi, nel luglio 2022, la società di cybersicurezza ha scoperto tentativi da parte di TA453 di mascherarsi da giornalista per attirare accademici ed esperti di politica a cliccare su link malevoli che reindirizzavano gli obiettivi a domini di raccolta delle credenziali.
L’ultima rivelazione arriva in mezzo a una raffica di attività informatiche legate all’Iran. La scorsa settimana, Microsoft ha eliminato una serie di attacchi ransomware portati avanti da un sottogruppo di Phosphorus soprannominato DEV-0270 che utilizzava binari di tipo living-off-the-land come BitLocker.
Inoltre, la società di cybersicurezza Mandiant, che ora fa ufficialmente parte di Google Cloud, ha dettagliato le attività di un attore dello spionaggio iraniano, nome in codice APT42, che è stato collegato a oltre 30 operazioni dal 2015.
Come se non bastasse, il Dipartimento del Tesoro ha annunciato sanzioni contro il Ministero dell’Intelligence e della Sicurezza iraniano (MOIS) e il suo Ministro dell’Intelligence, Esmaeil Khatib, in risposta alle “attività cyber-abilitate contro gli Stati Uniti e i suoi alleati”.
L’Albania, che ha interrotto le relazioni diplomatiche con l’Iran dopo averlo incolpato di una serie di offensive informatiche a partire da luglio, nel fine settimana ha puntato il dito contro gli “stessi aggressori” per aver condotto un altro attacco a un sistema governativo utilizzato per tracciare i passaggi di frontiera.
“Gli attori delle minacce allineati agli Stati sono tra i migliori nel creare campagne di social engineering ben congegnate per raggiungere le loro vittime”, ha dichiarato DeGrippo.
“I ricercatori che si occupano di sicurezza internazionale, in particolare quelli specializzati in studi sul Medio Oriente o sulla sicurezza nucleare, dovrebbero mantenere una maggiore consapevolezza quando ricevono e-mail non richieste”.
