Proofpoint: Iraanse hackers richten zich op westerse beleidsdeskundigen

proofpoint

Recent onderzoek van Proofpoint toont aan hoe de Iraanse hackergroep TA453 (ook bekend als Charming Kitten, PHOSPHORUS en APT42) zich richt op mensen die gespecialiseerd zijn in Midden-Oosterse kwesties, nucleaire veiligheid en genoomonderzoek. Bij elke gerichte e-mailaanval gebruikt de groep meerdere valse identiteiten. De e-mails bootsen bestaande identiteiten na van mensen die in dienst zijn bij westerse organisaties en onderzoek doen naar buitenlands beleid. Er worden nieuwe social engineering-tactieken gebruikt om informatie te verkrijgen uit naam van de Iraanse Revolutionaire Garde.

  • TA453 creëert meerdere valse identiteiten in elke spear-phishingaanval en gebruikt sociaal bewijs om zijn doelwitten aan te vallen en de authenticiteit van de aanval te verhogen.

  • TA453 doet zich onder meer voor als het PEW Research Center, Foreign Policy Research Institute (FRPI), Britse Chatham House en het wetenschappelijke tijdschrift Nature. Hierbij richten zij zich op mensen die informatie hebben over Israël en de Golfstaten, de Abraham-akkoorden en nucleaire wapens met betrekking tot een mogelijke botsing tussen de V.S. en Rusland.

  • Proofpoint is van mening dat TA453 opereert ter ondersteuning van de Islamic Revolutionary Guard Corps (IRGC), met het doel gevoelige data en inlichtingen te stelen.

Het volledige onderzoek is hier beschikbaar.


"Staatsgelieerde cybercriminelen kunnen als geen ander doordachte social engineering campagnes opzetten om hun slachtoffers te bereiken. In dit geval zagen onze onderzoekers hoe TA453 zijn strategie aanscherpte door Multi-Persona Impersonation te gebruiken. Hierbij wordt sociaal bewijs gebruikt om het doelwit in hun oplichterij te laten geloven. Dit is een interessante tactiek omdat TA453 wellicht meerdere valse identiteiten moet gebruiken om geloofwaardiger over te komen. Onderzoekers die zich bezighouden met internationale veiligheid, met name degenen gespecialiseerd in het Midden-Oosten of nucleaire veiligheid, moeten extra waakzaam zijn wanneer zij ongevraagde e-mails ontvangen. Bijvoorbeeld, deskundigen die worden benaderd door journalisten moeten de website van de publicatie controleren om te zien of het e-mailadres wel degelijk toebehoort aan een betrouwbare journalist." aldus Sherrod DeGrippo, Vice President Threat and Research bij Proofpoint

 

Meer over
Lees ook
Drie trends voor cyberaanvallen in 2024

Drie trends voor cyberaanvallen in 2024

Allianz: in België blijven Cyberincidenten (bijv. cybercriminaliteit, verstoringen van IT-netwerken en -diensten, malware/ransomware, datalekken, boetes en straffen) het nummer één risico sinds 2018. In Nederland klommen Cyberincidenten vier posities naar de tweede plaats.

DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt de overname aan van Avian Digital Forensics, een Deens bedrijf gespecialiseerd in digitale recherche- en eDiscovery-technologieën. Met de overname van Avian versterkt DataExpert zijn aanwezigheid in de Scandinavische landen.

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Proofpoint identificeerde vorige week een nieuwe aanvalsketen van TA577 die NT LAN Manager authenticatie-informatie steelt. Het cybersecurity bedrijf identificeerde minstens twee campagnes die dezelfde techniek gebruikten voor het stelen van NTLM hashes op 26 en 27 februari 2024.