Los actores patrocinados por el estado iraní continúan participando en campañas de ingeniería social dirigidas a investigadores haciéndose pasar por un grupo de expertos de EE. UU.
«Notablemente, los objetivos en este caso eran todas las mujeres que están activamente involucradas en asuntos políticos y derechos humanos en la región de Medio Oriente», dijo la Unidad Contra Amenazas de Secureworks (CTU). dicho en un informe compartido con The Hacker News.
La empresa de ciberseguridad atribuyó la actividad a un grupo de hackers que rastrea como Ilusión de cobaltoy que también se conoce con los nombres APT35, Charming Kitten, ITG18, Phosphorus, TA453 y Yellow Garuda.
El ataque de académicos, activistas, diplomáticos, periodistas, políticos e investigadores por parte del actor de amenazas ha sido bien documentado a lo largo de los años.
Se sospecha que el grupo opera en nombre del Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán y ha exhibido un patrón de uso de personas falsas para establecer contacto con personas que son de interés estratégico para el gobierno.
«Es común que Cobalt Illusion interactúe con sus objetivos varias veces en diferentes plataformas de mensajería», dijo SecureWorks. «Los actores de amenazas primero envían enlaces y documentos benignos para establecer una relación. Luego envían un enlace o documento malicioso para suplantar las credenciales de los sistemas a los que Cobalt Illusion busca acceder».
La principal de sus tácticas incluye aprovechar la recolección de credenciales para obtener el control de los buzones de correo de las víctimas, así como el empleo de herramientas personalizadas como HYPERSCRAPE (también conocido como EmailDownloader) para robar datos de las cuentas de Gmail, Yahoo! y Microsoft Outlook utilizando las contraseñas robadas.
Otro malware a medida vinculado al grupo es una herramienta de captura de Telegram basada en C++ que facilita la recopilación de datos a gran escala de las cuentas de Telegram después de obtener las credenciales del objetivo.
La última actividad involucra al adversario haciéndose pasar por un empleado de la Consejo Atlánticoun grupo de expertos con sede en los EE. UU., y contactando a investigadores de asuntos políticos y derechos humanos con el pretexto de contribuir a un informe.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
Para que la artimaña fuera convincente, las cuentas de las redes sociales asociadas con la persona fraudulenta «Sara Shokouhi» (@SaShokouhi en Twitter y @sarashokouhii en Instagram) afirmaron tener un doctorado en política de Medio Oriente.
Además, se dice que las fotos de perfil en estas cuentas, según SecureWorks, se tomaron de una cuenta de Instagram perteneciente a un psicólogo y lector de cartas del tarot con sede en Rusia.
No está claro de inmediato si el esfuerzo resultó en algún ataque de phishing exitoso. La cuenta de Twitter, creada en octubre de 2022, se mantiene activa a la fecha al igual que la cuenta de Instagram.
«El phishing y la recopilación masiva de datos son tácticas centrales de Cobalt Illusion», dijo Rafe Pilling, investigador principal y líder temático de Irán en SecureWorks CTU, en un comunicado.
“El grupo lleva a cabo la recopilación de inteligencia, a menudo inteligencia enfocada en humanos, como extraer el contenido de buzones de correo, listas de contactos, planes de viaje, relaciones, ubicación física, etc. Es probable que esta información se mezcle con otras fuentes y se utilice para informar las operaciones militares y de seguridad de Irán. , extranjeros y nacionales».