"TA453 wijkt af van verwachtingen"

proofpoint

De Iraanse hackersgroep TA453 is de afgelopen jaren behoorlijk druk geweest. Alleen al in 2022 namen onderzoekers van Proofpoint waar dat deze groep een social engineering-techniek gebruikte die we Multi-Persona Impersonation noemen.

 

Overzicht

Proofpoint volgt een zestal subgroepen van TA453, die zich vooral onderscheiden door het kiezen van verschillende doelwitten, aanvalsmethoden en infrastructuur. Eén ding is echter bij elke aanval hetzelfde: de hackersgroep richt zich op academici, beleidsmakers, diplomaten, journalisten, mensenrechtenactivisten, dissidenten en onderzoekers met expertise in het Midden-Oosten. De door TA453 geregistreerde e-mailaccounts komen meestal inhoudelijk overeen met hun doelwitten en gebruiken bij voorkeur web beacons in hun e-mailcampagnes. TA453 vertrouwt sterk op persoonlijke gesprekken om in contact te komen met doelwitten. Zo nam Proofpoint in 2022 meer dan 60 van dit soort aanvallen waar. TA453 gebruikt bijna altijd credential harvesting links (een vorm van phishing) om toegang te krijgen tot de inbox van een doelwit. Sommige subgroepen praten wekenlang met elkaar voordat ze de kwaadaardige links afleveren, terwijl anderen de link gelijk in de eerste e-mail al versturen.

TA453 breidt zijn methoden en doelgroepen uit

Vanaf eind 2020 begonnen onderzoekers van Proofpoint aanvallen waar te nemen die afweken van de gebruikelijke methoden van TA453. Deze kregen weinig of geen aandacht, daarom besloot Proofpoint de inzichten in dit rapport te delen. De aanvallen maakten met name gebruik van methoden die niet eerder werden geassocieerd met de e-mailaanvallen van TA453, zoals:

Gecompromitteerde accounts

In sommige gevallen gebruikte een subgroep van TA453 gecompromitteerde accounts om personen aan te vallen in plaats van accounts die door hackers werden beheerd. h3>Zo werd in 2021, ongeveer vijf dagen nadat een Amerikaanse ambtenaar zich publiekelijk uitsprak over de onderhandelingen rond het Joint Comprehensive Plan of Action (JCPOA), de persvoorlichter van de ambtenaar het doelwit van aanval.

Malware

In de herfst van 2021 werd GhostEcho (CharmPower), een PowerShell-backdoor, verzonden naar verschillende diplomatieke missies in Teheran. GhostEcho is een lichtgewicht eerste fase backdoor die wordt gebruikt voor spionage, zo blijkt uit onderzoek van CheckPoint. Op basis van overeenkomsten in de bezorgtechnieken vermoedt Proofpoint dat GhostEcho eind 2021 ook werd geleverd aan vrouwenrechtenactivisten, maar de payload was niet beschikbaar ten tijde van Proofpoints analyse.

Lokmiddelen

TA453 gebruikt één personage in het bijzonder, Samantha Wolf, voor social engineering, bedoeld om het gevoel van onveiligheid en angst van een doelwit te gebruiken om hen te laten reageren op e-mails van de hackers. Samantha heeft deze lokmiddelen, waaronder thema's als auto-ongelukken en algemene klachten, verzonden naar Amerikaanse en Europese politici en overheidsinstanties, een energiebedrijf in het Midden-Oosten en een Amerikaanse academicus. Meer hierover is te lezen op de blog van Proofpoint: https://www.proofpoint.com/us/blog/threat-insight/ta453-refuses-be-bound-expectations

Lees ook
Exclusieve samenwerking Orange Cyberdefense en Salvador Technologies verbetert veerkracht OT-omgevingen

Exclusieve samenwerking Orange Cyberdefense en Salvador Technologies verbetert veerkracht OT-omgevingen

Orange Cyberdefense kondigt een exclusieve strategische samenwerking aan met Salvador Technologies. Dankzij deze samenwerking komt Salvador’s Cyber Recovery Unit op de Nederlandse markt beschikbaar en breidt Orange Cyberdefense het portfolio rondom OT-securitydiensten verder uit. Met de oplossing van Salvador kunnen organisaties hun getroffen pc’s en...

Mark Slagmolen van ProLion: ‘Databeveiliging kent meerdere stakeholders’

Mark Slagmolen van ProLion: ‘Databeveiliging kent meerdere stakeholders’

ProLion was uiteraard ook dit jaar weer aanwezig op Cloud Expo. Regional Manager Benelux, Frankrijk en Nordics Mark Slagmolen gaf twee presentaties over databeveiliging bij ondernemingen en overheden. De rol van resellers is enorm belangrijk bij het vergroten van die security, maar toch hoort Mark regelmatig dat het moeite kost om dit onderwerp bij...

Fortinet waarschuwt voor online feestdagen-criminaliteit: vier veelgebruikte scams

Fortinet waarschuwt voor online feestdagen-criminaliteit: vier veelgebruikte scams

Security leverancier Fortinet waarschuwt voor feestdagen-cyberscams en geeft een top 4 van veel gebruikte online-oplichtpraktijken. Sinterklaas en kerst komen eraan, en cybercriminelen zijn al druk bezig met het bedenken van slimme trucs waarmee ze dit winkelseizoen zelfs de meest beveiligingsbewuste consumenten om de tuin kunnen leiden. De feestdagen...