El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido advirtió el jueves sobre ataques de phishing dirigidos por actores patrocinados por el estado ruso e iraní para operaciones de recopilación de información.
«Los ataques no están dirigidos al público en general, sino a sectores específicos, incluidos el mundo académico, la defensa, las organizaciones gubernamentales, las ONG, los grupos de expertos, así como a los políticos, periodistas y activistas», dijo el NCSC. dicho.
La agencia atribuyó las intrusiones a SEABORGIUM (también conocido como Callisto, COLDRIVER y TA446) y APT42 (también conocido como ITG18, TA453 y Yellow Garuda). Dejando a un lado las similitudes en el modus operandi, no hay evidencia de que los dos grupos estén colaborando entre sí.
La actividad es típica de las campañas de spear-phishing, donde los actores de la amenaza envían mensajes adaptados a los objetivos, mientras se toman el tiempo suficiente para investigar sus intereses e identificar sus círculos sociales y profesionales.
El contacto inicial está diseñado para parecer inocuo en un intento de ganar su confianza y puede durar semanas antes de pasar a la fase de explotación. Esto toma la forma de enlaces maliciosos que pueden provocar el robo de credenciales y el compromiso posterior, incluida la exfiltración de datos.
Para mantener el engaño, se dice que los equipos adversarios crearon perfiles falsos en las plataformas de redes sociales para hacerse pasar por expertos de campo y periodistas para engañar a las víctimas para que abran los enlaces.
Las credenciales robadas luego se utilizan para iniciar sesión en las cuentas de correo electrónico de los objetivos y acceder a información confidencial, además de configurar reglas de reenvío de correo para mantener una visibilidad continua de la correspondencia de la víctima.
El grupo SEABORGIUM patrocinado por el estado ruso tiene un historial de establecimiento de páginas de inicio de sesión falsas que imitan a compañías de defensa legítimas y laboratorios de investigación nuclear para llevar a cabo sus ataques de recolección de credenciales.
Se dice que APT42, que opera como el brazo de espionaje del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), comparte superposiciones con PHOSPHORUS y es parte de un grupo más grande rastreado como Charming Kitten.
Se sabe que el actor de amenazas, como SEABORGIUM, se hace pasar por periodistas, institutos de investigación y grupos de expertos para comprometerse con sus objetivos utilizando un arsenal de herramientas y tácticas en constante cambio para adaptarse a las prioridades cambiantes del IRGC.
Empresa de seguridad empresarial Proofpoint, en diciembre de 2022, revelado el «uso del grupo de cuentas comprometidas, malware y señuelos de confrontación para perseguir objetivos con una variedad de antecedentes, desde investigadores médicos hasta agentes de bienes raíces y agencias de viajes», calificándolo de una desviación de la «actividad de phishing esperada».
Además, un aspecto notable de estas campañas es el uso de las direcciones de correo electrónico personales de los objetivos, probablemente como un medio para eludir los controles de seguridad establecidos en las redes corporativas.
“Estas campañas de actores de amenazas con sede en Rusia e Irán continúan persiguiendo despiadadamente a sus objetivos en un intento de robar credenciales en línea y comprometer sistemas potencialmente sensibles”, dijo Paul Chichester, director de operaciones de NCSC.