Pusat Nasional keamanan cyber of Great Britain (NCSC) melaporkan serangan siber reguler yang dilakukan oleh peretas dari Rusia dan Iran.
Menurut laporan ahli, grup peretas SEABORGIUM (alias Callisto Group/TA446/COLDRIVER/TAG-53) dan TA453 (alias APT42/Charming Kitten/Yellow Garuda/ITG18) menggunakan teknik phishing yang ditargetkan untuk menyerang institusi dan orang pribadi dengan tujuan mengumpulkan informasi.
Meskipun kedua kelompok ini tidak bersekongkol, entah bagaimana mereka terpisah satu sama lain menyerang jenis organisasi yang sama, yang tahun lalu mencakup badan pemerintah, lembaga swadaya masyarakat, organisasi di bidang pertahanan dan pendidikan, serta individu seperti politisi, jurnalis, dan aktivis.
Phishing yang ditargetkan, bisa dikatakan, adalah teknik yang canggih pengelabuan, saat penyerang menargetkan orang tertentu dan berpura-pura memiliki informasi yang menarik bagi korbannya. Dalam kasus SEABORGIUM dan TA453, mereka memastikan hal ini dengan mengeksplorasi sumber daya yang tersedia secara bebas untuk mempelajari target mereka.
Kedua kelompok tersebut membuat profil palsu di media sosial dan berpura-pura menjadi kenalan korban atau pakar di bidangnya dan jurnalis. Biasanya terjadi kontak yang tidak berbahaya pada awalnya saat SEABORGIUM dan TA453 mencoba membangun hubungan dengan korbannya untuk mendapatkan kepercayaan mereka. Para ahli mencatat bahwa hal ini bisa berlangsung dalam jangka waktu lama. Peretas kemudian mengirimkan tautan berbahaya, menyematkannya di email atau dokumen bersama Microsoft Satu Drive atau Google Drive.
Di tengah keamanan cyber melaporkan bahwa "dalam satu contoh [TA453] bahkan mengatur panggilan Zoom untuk membagikan URL jahat dalam obrolan selama panggilan." Penggunaan beberapa identitas palsu dalam satu serangan phishing untuk meningkatkan kepercayaan juga telah dilaporkan.
Mengikuti tautan biasanya membawa korban ke halaman login palsu yang dikendalikan oleh penyerang, dan setelah memasukkan kredensial mereka, mereka diretas. Peretas kemudian mengakses kotak masuk email korbannya untuk mencuri email, lampiran, dan mengalihkan email masuk ke akun mereka. Selain itu, mereka menggunakan kontak yang disimpan di email yang disusupi untuk menemukan korban baru dalam serangan berikutnya dan memulai proses dari awal lagi.
Peretas dari kedua grup menggunakan akun dari penyedia email umum untuk membuat ID palsu saat pertama kali berinteraksi dengan target. Mereka juga membuat domain palsu untuk organisasi yang tampaknya sah. Perusahaan dari keamanan cyber Proofpoint, yang telah melacak grup TA2020 Iran sejak 453, sebagian besar menggemakan temuan NCSC: "kampanye [TA453] dapat dimulai dengan percakapan ramah selama berminggu-minggu dengan akun yang dibuat oleh peretas sebelum mencoba meretas." Mereka juga mencatat bahwa target kelompok lainnya termasuk peneliti medis, insinyur ruang angkasa, agen real estat, dan agen perjalanan.
Selain itu, perusahaan tersebut mengeluarkan peringatan berikut: “Para peneliti yang bekerja pada masalah keamanan internasional, terutama yang berspesialisasi dalam studi keamanan Timur Tengah atau nuklir, harus meningkatkan kewaspadaan saat menerima email yang tidak diminta. Misalnya, pakar yang dihubungi oleh jurnalis harus memeriksa situs web publikasi untuk memastikan bahwa alamat email tersebut milik reporter yang sah."
Juga menarik: