В четверг Национальный центр кибербезопасности Великобритании (NCSC) опубликовал предупреждение о целевых фишинговых атаках, совершенных спонсируемыми государством субъектами в Иране и России.
Агентство обвинило во вторжениях SEABORGIUM (также известный как Callisto, COLDRIVER и TA446) и APT42 (он же ITG18, TA453 и Yellow Garuda). Несмотря на сходство в том, как работают две организации, нет никаких доказательств того, что они работают вместе.
его поведение характерно для тактики целевого фишинга, при которой субъекты угрозы отправляют сообщения, персонализированные целям, а также тратят время на то, чтобы узнать об их интересах и определить свои социальные и профессиональные сети.
Прежде чем перейти к этапу эксплуатации, первоначальное взаимодействие может длиться неделями и должно выглядеть невинным, чтобы завоевать их доверие.
Вредоносные ссылки — один из способов сделать это, и они могут привести к краже учетных данных, дальнейшей компрометации и даже краже данных.
Согласно сообщениям, соперничающие команды использовали фальшивые профили в социальных сетях, чтобы выдавать себя за журналистов и экспертов в своих областях, чтобы обмануть жертв и заставить их переходить по ссылкам.
Затем осуществляется доступ к учетным записям электронной почты жертв и доступ к конфиденциальным данным с использованием украденных учетных данных, которые также используются для настройки политик пересылки почты и отслеживания переписки жертвы.
Организация SEABORGIUM, которую поддерживает российское правительство, имеет опыт проведения атак по сбору учетных данных путем создания фальшивых страниц входа, которые имитируют надежные оборонные фирмы и ядерные исследовательские центры.
Согласно сообщениям, APT42, шпионское подразделение иранского Корпуса стражей исламской революции (КСИР), сотрудничает с PHOSPHORUS и является частью более широкой организации, известной как Charming Kitten.I
Известно, что для взаимодействия со своими целями злоумышленник, такой как SEABORGIUM, выдает себя за журналистов, исследовательские институты и аналитические центры. Он использует постоянно развивающийся набор стратегий, отвечающих изменяющимся приоритетам КСИР.
В декабре 2022 года компания Proofpoint, занимающаяся безопасностью бизнеса, сообщила, что использование скомпрометированных учетных записей, вредоносных программ и конфронтационных приманок для преследования целей с различным опытом, от медицинских исследователей до риелторов и туристических агентств, охарактеризовала это как отклонение от ожидаемой фишинговой активности.
Эти кампании злоумышленников, базирующихся в России и Иране, продолжают безжалостно преследовать свои цели, пытаясь украсть учетные данные в Интернете и скомпрометировать потенциально конфиденциальные системы.