2020’den bu yana, Proofpoint araştırmacıları, yeni yöntemler kullanan ve geçmişe göre farklı hedefleri hedefleyen grupla APT’nin (aynı zamanda Fosforlu ve APT42 gruplarıyla da örtüşen) kimlik avı faaliyetlerinde farklılıklar gözlemledi. Araştırmacılar, son kampanyalarda, kiralık cinayet ve adam kaçırma da dahil olmak üzere IRGC’nin “kinetik operasyonları” teşebbüslerini desteklemek için kullanılabilecek daha agresif faaliyetler gözlemlediklerini söyledi.
Bu hafta yayınlanan bir Proofpoint raporu, “TA453, casusluk yapan diğer gelişmiş kalıcı tehdit aktörleri gibi, araçları, taktikleri, teknikleri ve hedeflemesi konusunda sürekli bir değişim halindedir.” “Muhtemelen sürekli değişen ve genişleyen önceliklere yanıt olarak yaklaşımlarını ayarlayan aykırı kampanyalar muhtemelen devam edecek ve düşmanca ve hatta kinetik operasyonlar için olası destek dahil olmak üzere IRGC istihbarat toplama gereksinimlerini yansıtacaktır.”
E-Posta Hesaplarını Hacklemek
2021’de Proofpoint, TA453’ün Londra Üniversitesi’ndeki iki araştırmacının gazetecilere, düşünce kuruluşu personeline, akademisyenlere ve diğerlerine ait e-posta gelen kutularına erişmeye çalışmak için sahtecilik yaptığını belgeledi. Ağustos ayında Google araştırmacıları, bilgisayar korsanlığı ekibinin önceden edinilmiş kimlik bilgilerini kullanarak Gmail, Yahoo ve Microsoft Outlook hesaplarını hedef alan bir veri hırsızlığı aracı kullanmaya başladığını söyledi. E-posta konuşmalarından toplanan istihbarat, konum takibi ve daha fazlası için kullanılabilir.
Proofpoint’in raporuna göre, araştırmacıların İsrail ordusunun eski bir mensubuna karşı gözlemlediği bir kampanya bu açıdan tehdit edici ve rahatsız ediciydi.
Araştırmacılar, “TA453, hedefe bir bağlantı sağlamak için yüksek rütbeli bir askeri yetkilininkiler de dahil olmak üzere birden fazla güvenliği ihlal edilmiş e-posta hesabı kullandı” dedi. “Tek bir hedefi hedeflemek için güvenliği ihlal edilmiş birden çok e-posta hesabının kullanılması TA453 için alışılmadık bir durum.[.]arayışı ve İbranice aynı tehdit mesajına işaret etti.”
Mesajda şunlar yazıyordu: “Eminim sana söylediklerimi hatırlıyorsundur. Arkadaşlarından aldığın her e-posta, iddia ettiği kişi değil, ben olabilirim. Seni gölgen gibi takip ediyoruz, Tel Aviv’de, Türkiye’de. [redacted], Dubai’de, Bahreyn’de. Kendine dikkat et.”
Charming Kitten için Güncellenmiş Siber Hedefler
Önceki Charming Kitten e-posta kampanyaları, neredeyse her zaman akademisyenleri, araştırmacıları, diplomatları, muhalifleri, gazetecileri ve insan hakları aktivistlerini hedef almış, sonunda hedefin kimlik bilgilerine dokunmaya çalışmadan önce mesaj metinlerinde web işaretçileri kullanmıştı. Bu tür kampanyalar, gerçek saldırıyı başlatmadan önce aktörler tarafından oluşturulan hesaplar üzerinde haftalarca süren zararsız konuşmalarla başlayabilir.
Proofpoint araştırmacıları Joshua Miller ve Crista Giering, bu hafta bir gönderide, yeni kampanyaların tıp alanındaki belirli araştırmacıları, bir havacılık mühendisi, bir emlakçı ve seyahat acentelerini hedef aldığını yazdı.
Bazı durumlarda TA453, yem olarak hayali bir kişiye, “Samantha Wolf”a güvenir. Kanıt noktası araştırmacıları, kişiyi ilk olarak Mart ayı ortasında, ilişkili Gmail hesabı kötü amaçlı bir belgenin yem içeriğine dahil edildiğinde tanımladı.
Raporda, “Samantha’nın yüzleşmeye yönelik cazibeleri, diğer TA453 hesaplarında görülmeyen hedeflerle angajman oluşturmak için ilginç bir girişim gösteriyor.”
Proofpoint raporu, daha saldırgan faaliyetin, fiziksel operasyonlar yürüten IRGC Kudüs Gücü de dahil olmak üzere İran devletinin başka bir koluyla işbirliğini temsil edebileceğini “ılımlı bir güvenle” belirtebileceğini söyledi.
Proofpoint, Mayıs ayında İsrail istihbarat teşkilatı Shin Bet’in İran istihbarat servislerinin hedefleri onları kaçırmaya ikna etmek için tasarlanmış kimlik avı faaliyetlerini tespit ettiğini kaydetti.
“Sağlanan göstergelere dayanarak Proofpoint, bu etkinliği Aralık 2021’deki TA453 kampanyalarıyla ilişkilendirdi; burada TA453’e atfedilen kampanyalar, bir araştırmacıya ‘Ocak 2022 Zürih Stratejik Diyaloğuna Davet’ vermek için saygın bir akademisyenin sahte e-posta adresini kullandı. ‘ ” rapora göre.