TA453 richt zich op medisch personeel VS en Israël

proofpoint

Eind 2020 lanceerde TA453, een Iraanse criminele groep, een phishing-campagne gericht op senior medische professionals die gespecialiseerd zijn in genetisch, neurologisch en oncologisch onderzoek in de Verenigde Staten en Israël. TA453 (ook bekend als CHARMING KITTEN en PHOSPHORUS) heeft zich in het verleden geschaard achter de spionageactiviteiten van de Islamitische Revolutionaire Garde (IRGC). Hierbij waren meestal dissidenten, academici, diplomaten en journalisten het doelwit. Deze laatste campagne, BadBlood genoemd, wijkt af van de gebruikelijke activiteiten van de groep.

Hoewel deze campagne een verschuiving kan betekenen in de activiteiten van TA453 in het algemeen, kan hij ook het resultaat zijn van een specifieke behoefte aan informatie op korte termijn. BadBlood past in een groeiende trend waarbij medisch onderzoek steeds vaker het doelwit is van cybercriminelen.

Onderzoekers van Proofpoint hebben deze campagne BadBlood genoemd op basis van de medische focus en de aanhoudende geopolitieke spanningen tussen Iran en Israël.

Credential phishing-campagne:

In deze campagne uit december 2020 gebruikte TA453 een overgenomen Gmail-account en deed zich voor als een prominente Israëlische natuurkundige. Het account (zajfman.daniel[@]gmail.com) stuurde berichten met als onderwerp "Nucleaire wapens in een oogopslag: Israël" en bevatte social engineering-berichten met betrekking tot de Israëlische nucleaire capaciteiten.
Deze schadelijke e-mails bevatten een link naar het door TA453 beheerde domein 1drv[.]casa. Wanneer hierop wordt geklikt, leidt de URL naar een landingspagina die de OneDrive-service van Microsoft imiteert, samen met een afbeelding van een PDF-documentlogo met de naam "CBP-9075.pdf".
Wanneer een gebruiker probeert het PDF-document te bekijken en te downloaden, opent 1drv[.]casa een vervalste Microsoft-inlogpagina waarop wordt geprobeerd de inloggegevens van de gebruiker te achterhalen.
Pogingen om een andere hyperlink op de webpagina te gebruiken, leiden naar dezelfde vervalste Microsoft-inlogpagina, met uitzondering van de link "Create one!". Dit tabblad leidt naar de legitieme aanmeldpagina van Microsoft Outlook op hxxps://signup.live[.]com.
Zodra de gebruiker een e-mailadres heeft ingevoerd en op "Volgende" heeft geklikt, wordt op de pagina om een wachtwoord gevraagd.
Zodra een gebruiker zijn inloggegevens heeft ingevoerd, wordt hij doorgestuurd naar Microsofts OneDrive waar het ongevaarlijke document "Nucleaire wapens in een oogopslag: Israël" wordt gehost.

Op dit moment lijkt het er niet op dat 1drv[.]casa multifactor-authenticatie op enige manier omzeilt. Proofpoint heeft op dit moment geen verder inzicht in hoe TA453 inloggegevens heeft gebruikt die uit deze specifieke campagne zijn verkregen. Openbare rapportage van CERTFA toont wel aan dat TA453 eerder verzamelde inloggegevens heeft gebruikt om de inhoud van e-mail inboxen uit te lezen.

In enkele eerdere campagnes hebben Iraans-georiënteerde cybercriminelen, waaronder TA453, overgenomen accounts gebruikt voor verdere phishing.

Doelwitten:

TA453 richtte zich op minder dan 25 senior professionals bij een verscheidenheid aan medische onderzoeksorganisaties in de VS en Israël. Uit analyse door Proofpoint van de aanvallers en openbaar beschikbare onderzoeksactiviteiten blijkt dat TA453 zich richtte op personen met een achtergrond in genetica, oncologie, of neurologie.
Bovendien is TA453, dat zich richt op Israëlische organisaties en personen, consistent met de toegenomen geopolitieke spanningen tussen Israël en Iran in 2020.

Hoewel Proofpoint TA453 niet met zekerheid kan toeschrijven aan de IRGC, komen de tactieken en technieken die zijn waargenomen in BadBlood overeen met die van eerdere TA453-campagnes. Maar ook de algemene focus van TA453-campagnes lijken de prioriteiten van de IRGC op het gebied van informatieverzameling te ondersteunen.

Vooruitzicht:

TA453 heeft consequent laten zien de inhoud van e-mailboxen van typische doelwitten van de Iraanse regering, zoals de Iraanse diaspora, beleidsanalisten en onderwijzers, te willen verzamelen en exfiltreren. Deze campagne van TA453 richtte zich echter ook op medische onderzoekers en zorgverleners. Verdere opsporing en analyse van TA453-campagnes zal waarschijnlijk uitwijzen of deze focus een uitzondering is, of dat de medische sector een vast doelwit is geworden voor TA453 Hoewel de aanvallen op medische deskundigen op het gebied van genetica, neurologie en oncologie misschien geen blijvende koerswijziging is voor TA453, duidt het er wel op dat de prioriteiten bij het verzamelen van TA453 op zijn minst tijdelijk zijn gewijzigd. BadBlood past in een wereldwijde trend dat medisch onderzoek steeds vaker het doelwit is van spionagegerichte cybercriminelen.

Lees ook

Kaspersky Endpoint Security Cloud geüpgraded met EDR voor kleine en middelgrote bedrijven

Kaspersky Endpoint Security Cloud bevat nu mogelijkheden voor endpoint detection en response (EDR) speciaal voor kleine en middelgrote organisaties. Het geeft IT-beheerders inzicht in de getroffen endpoints en de kill chain.

Extreme Networks benoemt John Abel tot Chief Information Officer

Extreme Networks, Inc. heeft John Abel benoemd als Chief Information Officer. Abel heeft meer dan dertig jaar ervaring in de IT-sector. Hij gaf leiding aan grote teams bij Fortune 500-bedrijven. Abel werkte meest recent als Senior Vice President (SVP) en CIO van Veritas. Als CIO bij Extreme wordt Abel verantwoordelijk voor alle aspecten van de wereldwijde...

Eagle Eye Networks Technology Partner bij Co-Liv

Eagle Eye Networks, de wereldwijde leider in cloud video surveillance, is per heden technology partner van Co-Liv, de grootste non-profit vereniging van coliving professionals. Nu de wereldwijde coliving beweging aan kracht wint, zijn technologiebedrijven zoals Eagle Eye Networks voor videobewaking en Salto voor toegangscontrole, van cruciaal belang

Infosecurity Magazine Nieuwsbrief

Ontvang de gratis digitale nieuwsbrief van Infosecurity Magazine iedere week en blijf op de hoogte van vakinformatie, nieuws en ontwikkelingen.

Aanmelden

Infosecurity Magazine 5 - 2020

Het is alweer een aantal jaren terug dat ik in de Koninklijke Industrieele Groote Club in Amsterdam een gesprek had met een Amerikaanse dame die in de security-wereld werkzaam is. Haar carrière bleek opmerkelijk. Waar veel mensen of bij aanbieders aan de slag gaan en daar hun hele leven lang blijven of juist bij overheid en bedrijfsleven zich met security bezig houden, sprong zij om de zoveel jaar van de kant naar de andere. Bij deze afspraak was ze net vertrokken bij een grote Amerikaanse verzekeraar en weer eens aan de slag gegaan bij een security-aanbieder. Het maakt haar visie op IT-security er alleen maar interessanter op.

Download de PDF

Bekijk de inhoud

Gratis 2 nummers op proef

Bent u nog niet bekend met Infosecurity Magazine?
Vraag dan hier uw proefabonnement aan en ontvang 2 gratis proefnummers.

Aanvragen

Evenementen

Webinar over het verwerken van persoonsgegevens buiten de Europese Unie

21 april 2021 - 21 april 2021

Lees meer

Webinar: Zelfhelende software voor cyberbeveiliging -29 april om 20.00 uur

29 april 2021 - 29 april 2021

Lees meer