Nationellt centrum Cybersäkerhet of Great Britain (NCSC) rapporterar regelbundna cyberattacker utförda av hackare från Ryssland och Iran.
Enligt expertrapporten använder hackergrupper SEABORGIUM (alias Callisto Group/TA446/COLDRIVER/TAG-53) och TA453 (alias APT42/Charming Kitten/Yellow Garuda/ITG18) riktade nätfisketekniker för att attackera institutioner och privatpersoner i syfte att samla in information.
Även om dessa två grupper inte är i ledarled, råkar de på något sätt vara skilda från varandra ge sig på samma typer av organisationer, som förra året omfattade statliga organ, icke-statliga organisationer, organisationer inom försvars- och utbildningssektorn samt individer som politiker, journalister och aktivister.
Riktat nätfiske är så att säga en sofistikerad teknik nätfiske, när en angripare riktar sig mot en specifik person och låtsas ha information av särskilt intresse för deras offer. När det gäller SEABORGIUM och TA453 ser de till detta genom att utforska fritt tillgängliga resurser för att lära sig om deras mål.
Båda grupperna skapade falska profiler på sociala medier och utgav sig för att vara bekanta till offren eller experter inom sitt område och journalister. Det är vanligtvis ofarlig kontakt till en början då SEABORGIUM och TA453 försöker bygga upp en relation med sitt offer för att vinna deras förtroende. Experter noterar att detta kan pågå under en lång period. Hackare skickar sedan en skadlig länk, bäddar in den i ett e-postmeddelande eller i ett delat dokument till Microsoft One Drive eller Google Drive.
I mitten Cybersäkerhet rapporterade att "i ett fall arrangerade [TA453] till och med ett Zoom-samtal för att dela en skadlig URL i chatten under samtalet." Användningen av flera falska identiteter i en enda nätfiskeattack för att öka trovärdigheten har också rapporterats.
Att följa länkarna tar vanligtvis offret till en falsk inloggningssida som kontrolleras av angriparna, och efter att ha angett deras autentiseringsuppgifter hackas de. Hackare kommer sedan åt sina offers e-postkorgar för att stjäla e-postmeddelanden, bilagor och omdirigera inkommande e-postmeddelanden till deras konton. Dessutom använder de de sparade kontakterna i det komprometterade e-postmeddelandet för att hitta nya offer i efterföljande attacker och starta processen igen.
Hackare från båda grupperna använder konton från vanliga e-postleverantörer för att skapa falska ID:n när de först interagerar med ett mål. De skapade också falska domäner för till synes legitima organisationer. Företag från Cybersäkerhet Proofpoint, som har spårat Irans TA2020-grupp sedan 453, återspeglar till stor del NCSC:s resultat: "[TA453]-kampanjer kan börja med veckor av vänliga samtal med hackerskapade konton innan man försöker hacka." De noterade också att gruppens andra mål inkluderade medicinska forskare, en flygingenjör, en fastighetsmäklare och resebyråer.
Dessutom utfärdade företaget följande varning: "Forskare som arbetar med internationella säkerhetsfrågor, särskilt de som specialiserar sig på Mellanöstern eller kärnsäkerhetsstudier, bör utöva ökad vaksamhet när de tar emot oönskade e-postmeddelanden. Till exempel bör experter som kontaktas av journalister kontrollera tidningens webbplats för att se till att e-postadressen tillhör en legitim reporter."
Också intressant: