"TA453 wijkt af van verwachtingen"

proofpoint

De Iraanse hackersgroep TA453 is de afgelopen jaren behoorlijk druk geweest. Alleen al in 2022 namen onderzoekers van Proofpoint waar dat deze groep een social engineering-techniek gebruikte die we Multi-Persona Impersonation noemen.

 

Overzicht

Proofpoint volgt een zestal subgroepen van TA453, die zich vooral onderscheiden door het kiezen van verschillende doelwitten, aanvalsmethoden en infrastructuur. Eén ding is echter bij elke aanval hetzelfde: de hackersgroep richt zich op academici, beleidsmakers, diplomaten, journalisten, mensenrechtenactivisten, dissidenten en onderzoekers met expertise in het Midden-Oosten. De door TA453 geregistreerde e-mailaccounts komen meestal inhoudelijk overeen met hun doelwitten en gebruiken bij voorkeur web beacons in hun e-mailcampagnes. TA453 vertrouwt sterk op persoonlijke gesprekken om in contact te komen met doelwitten. Zo nam Proofpoint in 2022 meer dan 60 van dit soort aanvallen waar. TA453 gebruikt bijna altijd credential harvesting links (een vorm van phishing) om toegang te krijgen tot de inbox van een doelwit. Sommige subgroepen praten wekenlang met elkaar voordat ze de kwaadaardige links afleveren, terwijl anderen de link gelijk in de eerste e-mail al versturen.

TA453 breidt zijn methoden en doelgroepen uit

Vanaf eind 2020 begonnen onderzoekers van Proofpoint aanvallen waar te nemen die afweken van de gebruikelijke methoden van TA453. Deze kregen weinig of geen aandacht, daarom besloot Proofpoint de inzichten in dit rapport te delen. De aanvallen maakten met name gebruik van methoden die niet eerder werden geassocieerd met de e-mailaanvallen van TA453, zoals:

Gecompromitteerde accounts

In sommige gevallen gebruikte een subgroep van TA453 gecompromitteerde accounts om personen aan te vallen in plaats van accounts die door hackers werden beheerd. h3>Zo werd in 2021, ongeveer vijf dagen nadat een Amerikaanse ambtenaar zich publiekelijk uitsprak over de onderhandelingen rond het Joint Comprehensive Plan of Action (JCPOA), de persvoorlichter van de ambtenaar het doelwit van aanval.

Malware

In de herfst van 2021 werd GhostEcho (CharmPower), een PowerShell-backdoor, verzonden naar verschillende diplomatieke missies in Teheran. GhostEcho is een lichtgewicht eerste fase backdoor die wordt gebruikt voor spionage, zo blijkt uit onderzoek van CheckPoint. Op basis van overeenkomsten in de bezorgtechnieken vermoedt Proofpoint dat GhostEcho eind 2021 ook werd geleverd aan vrouwenrechtenactivisten, maar de payload was niet beschikbaar ten tijde van Proofpoints analyse.

Lokmiddelen

TA453 gebruikt één personage in het bijzonder, Samantha Wolf, voor social engineering, bedoeld om het gevoel van onveiligheid en angst van een doelwit te gebruiken om hen te laten reageren op e-mails van de hackers. Samantha heeft deze lokmiddelen, waaronder thema's als auto-ongelukken en algemene klachten, verzonden naar Amerikaanse en Europese politici en overheidsinstanties, een energiebedrijf in het Midden-Oosten en een Amerikaanse academicus. Meer hierover is te lezen op de blog van Proofpoint: https://www.proofpoint.com/us/blog/threat-insight/ta453-refuses-be-bound-expectations

Meer over
Lees ook
ESET Threat Report H1 2024

ESET Threat Report H1 2024

ESET heeft vandaag haar nieuwste Threat Report uitgebracht. Het report geeft een samenvatting van de trends in het dreigingslandschap die zijn waargenomen in ESET-telemetrie en vanuit het perspectief van zowel dreigingsdetectie-, als de onderzoeksexperts van ESET, van december 2023 tot mei 2024.

Cloudflare: "83% van de bedrijven in Nederland verwacht in 2024 een cyberaanval, slechts 28% is voorbereid"

Cloudflare: "83% van de bedrijven in Nederland verwacht in 2024 een cyberaanval, slechts 28% is voorbereid"

83% van de ondervraagde bedrijven in Nederland verwacht in 2024 het slachtoffer te worden van een cyberaanval, terwijl maar 28% daarop is voorbereid. Dat is een belangrijk resultaat van een onderzoek dat Cloudflare heeft laten uitvoeren naar cyberdreigingen onder ruim 4.000 verantwoordelijken voor de cybersecurity (CISO) in 13 landen, waaronder in1

Proofpoint: "Cybercriminelen profiteren van het EK voetbal 2024"

Proofpoint: "Cybercriminelen profiteren van het EK voetbal 2024"

Op vrijdag 14 juni begint het EK voetbal 2024. Het evenement vindt dit jaar plaats in Duitsland. Fans die nog niet over een ticket beschikken, proberen nog een mooie deal te scoren – het evenement vindt per slot van rekening naast onze deur plaats.