Національний центр кібербезпеки Великої Британії (NCSC) повідомляє про регулярні кібератаки, які здійснюють хакери з росії та Ірану.
У звіті фахівців йдеться, що групи хакерів SEABORGIUM (також відома як Callisto Group/TA446/COLDRIVER/TAG-53) і TA453 (також відома як APT42/Charming Kitten/Yellow Garuda/ITG18) використовують методи цільового фішингу для атак на установи та приватних осіб з метою збору інформації.
Хоча ці дві групи не перебувають у змові, чомусь так сталося, що вони окремо одна від одної атакують одні й ті ж типи організацій, серед яких минулого року були державні органи, неурядові організації, організації оборонного та освітнього секторів, а також окремі особи, як-от політики, журналісти та активісти.
Цільовий фішинг – це, так би мовити, вишукана техніка фішингу, коли зловмисник націлюється на конкретну особу та вдає, що володіє інформацією, яка представляє особливий інтерес для його жертви. У випадку SEABORGIUM і TA453 вони переконуються в цьому, досліджуючи ресурси, що знаходяться у вільному доступі, щоб дізнатися про свою ціль.
Обидві групи створювали фейкові профілі в соцмережах і видавали себе за знайомих жертви або за експертів у своїй галузі та журналістів. Зазвичай спочатку відбувається нешкідливий контакт, оскільки SEABORGIUM і TA453 намагаються налагодити стосунки зі своєю жертвою, щоб завоювати її довіру. Фахівці зазначають, що це може тривати протягом тривалого періоду. Після цього хакери надсилають шкідливе посилання, вбудовують його в електронний лист або у спільний документ на Microsoft One Drive або Google Drive.
У центрі кібербезпеки повідомили, що «в одному випадку [TA453] навіть організував дзвінок через Zoom, щоб поділитися шкідливою URL-адресою в чаті під час дзвінка». Також повідомлялося про використання декількох фальшивих осіб в одній фішинговій атаці для посилення правдоподібності.
Перехід за посиланнями зазвичай приводить жертву на фальшиву сторінку входу, контрольовану зловмисниками, і після введення своїх облікових даних вони викрадаються. Далі хакери входять в електронні поштові скриньки своїх жертв, щоб викрасти електронні листи, вкладення та перенаправляти вхідні листи на свої акаунти. На додаток вони використовують збережені контакти у скомпрометованій електронній пошті, щоб знайти нових жертв у наступних атаках і почати процес заново.
Хакери з обох груп використовують акаунти від поширених поштових провайдерів для створення фальшивих ідентифікаторів, коли тільки починають взаємодіяти з ціллю. Вони також створили фейкові домени для, здавалося б, легітимних організацій. Фірма з кібербезпеки Proofpoint, яка з 2020 року слідкує за іранською групою TA453, багато в чому повторює висновки NCSC: «[TA453] кампанії можуть починатися з тижнів доброзичливих розмов зі створених хакерами акаунтів перед спробою злому». Вони також зазначили, що серед інших мішеней групи були медичні дослідники, аерокосмічний інженер, рієлтор і туристичні агенції.
Крім того, фірма опублікувала наступне попередження: «Дослідники, які займаються питаннями міжнародної безпеки, особливо ті, що спеціалізуються на дослідженнях Близького Сходу або ядерної безпеки, повинні зберігати підвищену пильність при отриманні небажаних електронних листів. Наприклад, експерти, до яких звертаються журналісти, повинні перевірити сайт видання, щоб переконатися, що адреса електронної пошти належить законному репортеру».
Також цікаво:
Leave a Reply