TA453 richt zich op medisch personeel VS en Israël

proofpoint

Eind 2020 lanceerde TA453, een Iraanse criminele groep, een phishing-campagne gericht op senior medische professionals die gespecialiseerd zijn in genetisch, neurologisch en oncologisch onderzoek in de Verenigde Staten en Israël. TA453 (ook bekend als CHARMING KITTEN en PHOSPHORUS) heeft zich in het verleden geschaard achter de spionageactiviteiten van de Islamitische Revolutionaire Garde (IRGC). Hierbij waren meestal dissidenten, academici, diplomaten en journalisten het doelwit. Deze laatste campagne, BadBlood genoemd, wijkt af van de gebruikelijke activiteiten van de groep. 
 
Hoewel deze campagne een verschuiving kan betekenen in de activiteiten van TA453 in het algemeen, kan hij ook het resultaat zijn van een specifieke behoefte aan informatie op korte termijn. BadBlood past in een groeiende trend waarbij medisch onderzoek steeds vaker het doelwit is van cybercriminelen.
 
Onderzoekers van Proofpoint hebben deze campagne BadBlood genoemd op basis van de medische focus en de aanhoudende geopolitieke spanningen tussen Iran en Israël.
 
Credential phishing-campagne:
  • In deze campagne uit december 2020 gebruikte TA453 een overgenomen Gmail-account en deed zich voor als een prominente Israëlische natuurkundige. Het account (zajfman.daniel[@]gmail.com) stuurde berichten met als onderwerp "Nucleaire wapens in een oogopslag: Israël" en bevatte social engineering-berichten met betrekking tot de Israëlische nucleaire capaciteiten.
  • Deze schadelijke e-mails bevatten een link naar het door TA453 beheerde domein 1drv[.]casa. Wanneer hierop wordt geklikt, leidt de URL naar een landingspagina die de OneDrive-service van Microsoft imiteert, samen met een afbeelding van een PDF-documentlogo met de naam "CBP-9075.pdf".
  • Wanneer een gebruiker probeert het PDF-document te bekijken en te downloaden, opent 1drv[.]casa een vervalste Microsoft-inlogpagina waarop wordt geprobeerd de inloggegevens van de gebruiker te achterhalen.
  • Pogingen om een andere hyperlink op de webpagina te gebruiken, leiden naar dezelfde vervalste Microsoft-inlogpagina, met uitzondering van de link "Create one!". Dit tabblad leidt naar de legitieme aanmeldpagina van Microsoft Outlook op hxxps://signup.live[.]com.
  • Zodra de gebruiker een e-mailadres heeft ingevoerd en op "Volgende" heeft geklikt, wordt op de pagina om een wachtwoord gevraagd.
  • Zodra een gebruiker zijn inloggegevens heeft ingevoerd, wordt hij doorgestuurd naar Microsofts OneDrive waar het ongevaarlijke document "Nucleaire wapens in een oogopslag: Israël" wordt gehost.
 
Op dit moment lijkt het er niet op dat 1drv[.]casa multifactor-authenticatie op enige manier omzeilt. Proofpoint heeft op dit moment geen verder inzicht in hoe TA453 inloggegevens heeft gebruikt die uit deze specifieke campagne zijn verkregen. Openbare rapportage van CERTFA toont wel aan dat TA453 eerder verzamelde inloggegevens heeft gebruikt om de inhoud van e-mail inboxen uit te lezen.
 
In enkele eerdere campagnes hebben Iraans-georiënteerde cybercriminelen, waaronder TA453, overgenomen accounts gebruikt voor verdere phishing.
 
Doelwitten:
  • TA453 richtte zich op minder dan 25 senior professionals bij een verscheidenheid aan medische onderzoeksorganisaties in de VS en Israël. Uit analyse door Proofpoint van de aanvallers en openbaar beschikbare onderzoeksactiviteiten blijkt dat TA453 zich richtte op personen met een achtergrond in genetica, oncologie, of neurologie.
  • Bovendien is TA453, dat zich richt op Israëlische organisaties en personen, consistent met de toegenomen geopolitieke spanningen tussen Israël en Iran in 2020.
Hoewel Proofpoint TA453 niet met zekerheid kan toeschrijven aan de IRGC, komen de tactieken en technieken die zijn waargenomen in BadBlood overeen met die van eerdere TA453-campagnes. Maar ook de algemene focus van TA453-campagnes lijken de prioriteiten van de IRGC op het gebied van informatieverzameling te ondersteunen.
 
Vooruitzicht:

TA453 heeft consequent laten zien de inhoud van e-mailboxen van typische doelwitten van de Iraanse regering, zoals de Iraanse diaspora, beleidsanalisten en onderwijzers, te willen verzamelen en exfiltreren. Deze campagne van TA453 richtte zich echter ook op medische onderzoekers en zorgverleners. Verdere opsporing en analyse van TA453-campagnes zal waarschijnlijk uitwijzen of deze focus een uitzondering is, of dat de medische sector een vast doelwit is geworden voor TA453 Hoewel de aanvallen op medische deskundigen op het gebied van genetica, neurologie en oncologie misschien geen blijvende koerswijziging is voor TA453, duidt het er wel op dat de prioriteiten bij het verzamelen van TA453 op zijn minst tijdelijk zijn gewijzigd. BadBlood past in een wereldwijde trend dat medisch onderzoek steeds vaker het doelwit is van spionagegerichte cybercriminelen.

Meer over
Lees ook
"Bedrijven investeren jaarlijks ruim 92.000 euro voor bijscholing cybersecurityteams"

"Bedrijven investeren jaarlijks ruim 92.000 euro voor bijscholing cybersecurityteams"

In het recente onderzoek 'Het portret van de moderne informatiesecurityprofessional' deed Kaspersky onderzoek naar het wereldwijde tekort aan cybersecuritypersoneel. Zo onderzocht het de exacte redenen waarom bedrijven te weinig cybersecuritydeskundigen hebben.

Proofpoint gaat dataverlies via email tegen met kracht van AI op basis van gedrag

Proofpoint gaat dataverlies via email tegen met kracht van AI op basis van gedrag

Proofpoint Inc., kondigt de algemene beschikbaarheid aan van Adaptive E-mail Data Loss Prevention (DLP), voor het automatisch detecteren en voorkomen van onbedoeld en opzettelijk dataverlies via email – voordat het een kostbare fout wordt voor organisaties.

Onderzoek WatchGuard: sterke stijging evasive malware

Onderzoek WatchGuard: sterke stijging evasive malware

Het gebruik van malware dat detectiemethoden probeert te omzeilen (‘evasive malware’) is het laatste kwartaal van 2023 fors gestegen. Daarnaast hebben hackers het steeds vaker voorzien op Exchange-mailservers. Het aantal ransomwarebesmettingen blijft wel verder afnemen, waarschijnlijk door diverse internationale inspanningen.