Le National Cyber Security Center (NCSC) du Royaume-Uni a mis en garde jeudi contre les attaques de harponnage lancées par des acteurs russes et iraniens parrainés par l’État pour des opérations de collecte d’informations.
« Les attaques ne visent pas le grand public mais des cibles dans des secteurs spécifiques, notamment les universités, la défense, les organisations gouvernementales, les ONG, les groupes de réflexion, ainsi que les politiciens, les journalistes et les militants », a déclaré le NCSC. m’a dit.
L’agence a attribué les intrusions à SEABORGIUM (alias Callisto, COLDRIVER et TA446) et APT42 (alias ITG18, TA453 et Yellow Garuda). Mis à part les similitudes dans le modus operandi, rien ne prouve que les deux groupes collaborent.
L’activité est typique des campagnes de harponnage, où les acteurs de la menace envoient des messages adaptés aux cibles, tout en prenant suffisamment de temps pour rechercher leurs intérêts et identifier leurs cercles sociaux et professionnels.
Le contact initial est conçu pour paraître anodin dans le but de gagner leur confiance et peut durer des semaines avant de passer à la phase d’exploitation. Cela prend la forme de liens malveillants qui peuvent conduire au vol d’informations d’identification et à la compromission ultérieure, y compris l’exfiltration de données.
Pour maintenir la ruse, les équipes adverses auraient créé de faux profils sur les plateformes de médias sociaux pour se faire passer pour des experts de terrain et des journalistes afin d’inciter les victimes à ouvrir les liens.
Les informations d’identification volées sont ensuite utilisées pour se connecter aux comptes de messagerie des cibles et accéder aux informations sensibles, en plus de définir des règles de transfert de courrier pour maintenir une visibilité continue sur la correspondance des victimes.
Le groupe SEABORGIUM, parrainé par l’État russe, a pour habitude de créer de fausses pages de connexion imitant des sociétés de défense légitimes et des laboratoires de recherche nucléaire pour mener à bien ses attaques de collecte d’informations d’identification.
APT42, qui opère comme la branche d’espionnage du Corps des gardiens de la révolution islamique (CGRI) iranien, partagerait des chevauchements avec PHOSPHORUS et fait partie d’un groupe plus large suivi sous le nom de Charming Kitten.
L’acteur menaçant, comme SEABORGIUM, est connu pour se faire passer pour des journalistes, des instituts de recherche et des groupes de réflexion pour s’engager auprès de ses cibles en utilisant un arsenal d’outils et de tactiques en constante évolution pour s’adapter aux priorités en constante évolution du CGRI.
Entreprise de sécurité d’entreprise Proofpoint, en décembre 2022, divulgué « l’utilisation par le groupe de comptes compromis, de logiciels malveillants et de leurres conflictuels pour s’attaquer à des cibles d’horizons divers allant des chercheurs médicaux aux agents immobiliers en passant par les agences de voyage », qualifiant cela d’écart par rapport à « l’activité de phishing attendue ».
De plus, un aspect notable de ces campagnes est l’utilisation des adresses e-mail personnelles des cibles, probablement comme moyen de contourner les contrôles de sécurité mis en place sur les réseaux d’entreprise.
« Ces campagnes menées par des acteurs de la menace basés en Russie et en Iran continuent de poursuivre impitoyablement leurs cibles dans le but de voler des informations d’identification en ligne et de compromettre des systèmes potentiellement sensibles », a déclaré Paul Chichester, directeur des opérations du NCSC.