Хакеры, связанные с иранским правительством, преследуют лица, которые специализируются на ближневосточных делах в сфере ядерной безопасности и исследованиях генома. Все это происходит в рамках новой кампании социальной инженерии, направленной на поиск конфиденциальной информации. Пишет The Hacker News.

Фирма Proofpoint, занимающаяся корпоративной безопасностью, приписала целевые атаки злоумышленнику по имени TA453. Все начинается с фишингового электронного письма, выдающего себя за законных представителей западных исследовательских организаций по вопросам внешней политики, которое в конечном итоге предназначено для сбора разведданных от имени иранского Корпуса стражей исламской революции (КСИР).

В аккаунты марионеток входят люди из Исследовательского центра Pew, Исследовательского института внешней политики (FRPI), британского Chatham House и научного журнала Nature. Сообщается, что эта техника была развернута в середине июня 2022 года.

Однако то, что отличает эту атаку от других фишинговых атак, заключается в использовании тактики, которую Proofpoint называет «перевоплощение в нескольких людей» (Multi-Persona Impersonation — MPI), при которой субъект угрозы использует не одного, а нескольких лиц, контролируемых субъектом, в одной и той же переписке по электронной почте, чтобы повысить шансы на успех.

Идея состоит в том, чтобы «использовать психологический принцип социального доказательства» и повысить достоверность переписки злоумышленника, чтобы заставить цель поверить в схему.

«Это интригующий метод, потому что он требует использования большего количества ресурсов для каждой цели. Может быть задействовано большое количество людей, что требует скоординированных действий между различными личностями, используемыми TA453», — сказал Шеррод ДеГриппо, вице-президент по исследованию и обнаружению угроз в Proofpoint.

Как только приходит ответ от цели на первое письмо, человеку оправляется следующее сообщение, содержащее вредоносную ссылку OneDrive, которая загружает документ Microsoft Office, один из которых предположительно намекает на конфликт между Россией и США.

В этом документе впоследствии используется метод, называемый внедрением удаленного шаблона, для загрузки Korg, шаблона, состоящего из трех макросов, способных собирать имена пользователей, список запущенных процессов и общедоступные IP-адреса жертв. Эксперты предполагают, что скомпрометированные пользователи могут подвергаться дальнейшим атакам на основе установленного программного обеспечения.

Это не первый раз, когда злоумышленник проводит кампании по выдаче себя за другое лицо. В июле 2021 года Proofpoint раскрыла фишинговую операцию под названием SpoofedScholars, нацеленную на лица, занимающихся делами Ближнего Востока в США и Великобритании, под видом ученых из Школы восточных и африканских исследований Лондонского университета (SOAS).

Затем, в июле 2022 года, компания по кибербезопасности обнаружила попытки со стороны TA453 маскироваться под журналистов, чтобы заманить ученых и экспертов по политике переходить по вредоносным ссылкам, которые перенаправляют цели на домены для сбора учетных данных.

Последнее раскрытие информации произошло на фоне всплеска киберактивности, связанной с Ираном.