TA453 richt zich op medisch personeel VS en Israël

proofpoint

Eind 2020 lanceerde TA453, een Iraanse criminele groep, een phishing-campagne gericht op senior medische professionals die gespecialiseerd zijn in genetisch, neurologisch en oncologisch onderzoek in de Verenigde Staten en Israël. TA453 (ook bekend als CHARMING KITTEN en PHOSPHORUS) heeft zich in het verleden geschaard achter de spionageactiviteiten van de Islamitische Revolutionaire Garde (IRGC). Hierbij waren meestal dissidenten, academici, diplomaten en journalisten het doelwit. Deze laatste campagne, BadBlood genoemd, wijkt af van de gebruikelijke activiteiten van de groep. 
 
Hoewel deze campagne een verschuiving kan betekenen in de activiteiten van TA453 in het algemeen, kan hij ook het resultaat zijn van een specifieke behoefte aan informatie op korte termijn. BadBlood past in een groeiende trend waarbij medisch onderzoek steeds vaker het doelwit is van cybercriminelen.
 
Onderzoekers van Proofpoint hebben deze campagne BadBlood genoemd op basis van de medische focus en de aanhoudende geopolitieke spanningen tussen Iran en Israël.
 
Credential phishing-campagne:
  • In deze campagne uit december 2020 gebruikte TA453 een overgenomen Gmail-account en deed zich voor als een prominente Israëlische natuurkundige. Het account (zajfman.daniel[@]gmail.com) stuurde berichten met als onderwerp "Nucleaire wapens in een oogopslag: Israël" en bevatte social engineering-berichten met betrekking tot de Israëlische nucleaire capaciteiten.
  • Deze schadelijke e-mails bevatten een link naar het door TA453 beheerde domein 1drv[.]casa. Wanneer hierop wordt geklikt, leidt de URL naar een landingspagina die de OneDrive-service van Microsoft imiteert, samen met een afbeelding van een PDF-documentlogo met de naam "CBP-9075.pdf".
  • Wanneer een gebruiker probeert het PDF-document te bekijken en te downloaden, opent 1drv[.]casa een vervalste Microsoft-inlogpagina waarop wordt geprobeerd de inloggegevens van de gebruiker te achterhalen.
  • Pogingen om een andere hyperlink op de webpagina te gebruiken, leiden naar dezelfde vervalste Microsoft-inlogpagina, met uitzondering van de link "Create one!". Dit tabblad leidt naar de legitieme aanmeldpagina van Microsoft Outlook op hxxps://signup.live[.]com.
  • Zodra de gebruiker een e-mailadres heeft ingevoerd en op "Volgende" heeft geklikt, wordt op de pagina om een wachtwoord gevraagd.
  • Zodra een gebruiker zijn inloggegevens heeft ingevoerd, wordt hij doorgestuurd naar Microsofts OneDrive waar het ongevaarlijke document "Nucleaire wapens in een oogopslag: Israël" wordt gehost.
 
Op dit moment lijkt het er niet op dat 1drv[.]casa multifactor-authenticatie op enige manier omzeilt. Proofpoint heeft op dit moment geen verder inzicht in hoe TA453 inloggegevens heeft gebruikt die uit deze specifieke campagne zijn verkregen. Openbare rapportage van CERTFA toont wel aan dat TA453 eerder verzamelde inloggegevens heeft gebruikt om de inhoud van e-mail inboxen uit te lezen.
 
In enkele eerdere campagnes hebben Iraans-georiënteerde cybercriminelen, waaronder TA453, overgenomen accounts gebruikt voor verdere phishing.
 
Doelwitten:
  • TA453 richtte zich op minder dan 25 senior professionals bij een verscheidenheid aan medische onderzoeksorganisaties in de VS en Israël. Uit analyse door Proofpoint van de aanvallers en openbaar beschikbare onderzoeksactiviteiten blijkt dat TA453 zich richtte op personen met een achtergrond in genetica, oncologie, of neurologie.
  • Bovendien is TA453, dat zich richt op Israëlische organisaties en personen, consistent met de toegenomen geopolitieke spanningen tussen Israël en Iran in 2020.
Hoewel Proofpoint TA453 niet met zekerheid kan toeschrijven aan de IRGC, komen de tactieken en technieken die zijn waargenomen in BadBlood overeen met die van eerdere TA453-campagnes. Maar ook de algemene focus van TA453-campagnes lijken de prioriteiten van de IRGC op het gebied van informatieverzameling te ondersteunen.
 
Vooruitzicht:

TA453 heeft consequent laten zien de inhoud van e-mailboxen van typische doelwitten van de Iraanse regering, zoals de Iraanse diaspora, beleidsanalisten en onderwijzers, te willen verzamelen en exfiltreren. Deze campagne van TA453 richtte zich echter ook op medische onderzoekers en zorgverleners. Verdere opsporing en analyse van TA453-campagnes zal waarschijnlijk uitwijzen of deze focus een uitzondering is, of dat de medische sector een vast doelwit is geworden voor TA453 Hoewel de aanvallen op medische deskundigen op het gebied van genetica, neurologie en oncologie misschien geen blijvende koerswijziging is voor TA453, duidt het er wel op dat de prioriteiten bij het verzamelen van TA453 op zijn minst tijdelijk zijn gewijzigd. BadBlood past in een wereldwijde trend dat medisch onderzoek steeds vaker het doelwit is van spionagegerichte cybercriminelen.

Lees ook
WatchGuard pleit voor World MFA Day

WatchGuard pleit voor World MFA Day

Vandaag is het World Password Day. Op deze dag wordt sinds 2013 aandacht gevraagd voor het belang van wachtwoordbeveiliging. Ondanks de groeiende bewustwording blijft de situatie ernstig. Zo begon 80 procent van de breaches vorig jaar met een brute force-aanval of bij diefstal of verlies van inloggegevens.

11 procent van Nederlandse pc-gebruikers draait  oud Windows besturingssysteem

11 procent van Nederlandse pc-gebruikers draait oud Windows besturingssysteem

Kaspersky heeft een onderzoek uitgevoerd op basis van geanonimiseerde OS-metagegevens van instemmende gebruikers van het Kaspersky Security Network. Uit dit onderzoek blijkt dat in Nederland 11% van de pc-gebruikers nog steeds end-of-life OS Windows 7 of ouder gebruikt.

Kaspersky Endpoint Security Cloud geüpgraded met EDR voor kleine en middelgrote bedrijven

Kaspersky Endpoint Security Cloud geüpgraded met EDR voor kleine en middelgrote bedrijven

Kaspersky Endpoint Security Cloud bevat nu mogelijkheden voor endpoint detection en response (EDR) speciaal voor kleine en middelgrote organisaties. Het geeft IT-beheerders inzicht in de getroffen endpoints en de kill chain.