Los piratas informáticos vinculados al gobierno iraní han estado apuntando a personas especializadas en asuntos de Oriente Medio, seguridad nuclear e investigación del genoma como parte de una nueva campaña de ingeniería social diseñada para buscar información confidencial.
La firma de seguridad empresarial atribuyó los ataques dirigidos a un actor de amenazas llamado TA453, que se superpone ampliamente con las actividades cibernéticas monitoreadas bajo los nombres APT42, Charming Kitten y Phosphorus.
Todo comienza con un correo electrónico de phishing que se hace pasar por individuos legítimos en organizaciones de investigación de política exterior occidentales que, en última instancia, está diseñado para recopilar inteligencia en nombre del Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán.
Las personas falsificadas incluyen personas del Centro de Investigación Pew, el Instituto de Investigación de Política Exterior (FRPI), Chatham House del Reino Unido y la revista científica Nature. Se dice que la técnica se implementó a mediados de junio de 2022.
Lo que es diferente de otros ataques de phishing es el uso de una táctica que Proofpoint llama suplantación de identidad de múltiples personas (MPI), en la que el actor de la amenaza emplea no una, sino varias personas controladas por el actor en la misma conversación de correo electrónico para aumentar las posibilidades de éxito.
La idea es «aprovechar el principio de psicología de prueba socialy aumentar la autenticidad de la correspondencia del actor de la amenaza para que el objetivo compre el esquema, una táctica que demuestra la capacidad continua del adversario para intensificar su juego.
«Esta es una técnica intrigante porque requiere que se usen más recursos por objetivo, potencialmente quemar más personas, y un enfoque coordinado entre las diversas personalidades que usa TA453», Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint, dijo en una oracion.
Una vez que el correo electrónico inicial obtiene una respuesta del objetivo, la persona envía un mensaje de seguimiento que contiene un enlace OneDrive malicioso que descarga un documento de Microsoft Office, uno de los cuales supuestamente alude a un enfrentamiento entre Rusia y EE. UU.
Este documento utiliza posteriormente una técnica llamada inyección de plantilla remota para descargar Korg, una plantilla que consta de tres macros que pueden recopilar nombres de usuario, una lista de procesos en ejecución y las direcciones IP públicas de las víctimas.
Además de la exfiltración de la información de balizamiento, no se han observado otras acciones posteriores a la explotación. La falta «anormal» de ejecución de código y comportamiento de comando y control ha llevado a una evaluación de que los usuarios comprometidos pueden estar sujetos a más ataques basados en el software instalado.
Esta no es la primera vez que el actor de amenazas realiza campañas de suplantación de identidad. En julio de 2021, Proofpoint reveló una operación de phishing denominada SpoofedScholars que se dirigía a personas centradas en asuntos de Oriente Medio en los EE. UU. y el Reino Unido bajo la apariencia de académicos de la Escuela de Estudios Orientales y Africanos (SOAS) de la Universidad de Londres.
Luego, en julio de 2022, la empresa de ciberseguridad descubrió intentos por parte de TA453 de hacerse pasar por periodistas para atraer a académicos y expertos en políticas para que hicieran clic en enlaces maliciosos que redirigen a los objetivos a dominios de recolección de credenciales.
La divulgación se produce en medio de una ráfaga de actividad cibernética vinculada a Irán. La semana pasada, Microsoft puso fin a una serie de ataques de ransomware montados por un subgrupo de Phosphorus denominado DEV-0270 utilizando binarios de vivir fuera de la tierra como BitLocker.
Además, la firma de ciberseguridad Mandiant, que ahora es oficialmente parte de Google Clouddetalló las actividades de un actor de espionaje iraní con nombre en código APT42 que ha sido vinculado a más de 30 operaciones desde 2015.
Para colmo, el Departamento del Tesoro anunció sanciones contra el Ministerio de Inteligencia y Seguridad de Irán (MOIS) y su Ministro de Inteligencia, Esmaeil Khatib, en respuesta a «actividades cibernéticas contra Estados Unidos y sus aliados».
Albania, que rompió relaciones diplomáticas con Irán después de culparlo de una serie de ciberofensivas desde julio, dedos puntiagudos a los «mismos agresores» durante el fin de semana por realizar otro ataque contra un sistema gubernamental utilizado para rastrear los cruces fronterizos.
«Los actores de amenazas alineados con el estado son algunos de los mejores en la elaboración de campañas de ingeniería social bien pensadas para llegar a sus víctimas previstas», dijo DeGrippo.
«Los investigadores involucrados en seguridad internacional, particularmente aquellos que se especializan en estudios de Medio Oriente o seguridad nuclear, deben mantener un mayor sentido de conciencia cuando reciben correos electrónicos no solicitados».