Nationales Zentrum Internet-Sicherheit of Great Britain (NCSC) berichtet von regelmäßigen Cyberangriffen durch Hacker aus Russland und dem Iran.
Dem Gutachten zufolge nutzen die Hackergruppen SEABORGIUM (alias Callisto Group/TA446/COLDRIVER/TAG-53) und TA453 (alias APT42/Charming Kitten/Yellow Garuda/ITG18) gezielte Phishing-Techniken, um Institutionen und Privatpersonen anzugreifen Informationen sammeln.
Obwohl diese beiden Gruppen nicht unter einer Decke stecken, sind sie irgendwie voneinander getrennt Attacke die gleichen Arten von Organisationen, zu denen im vergangenen Jahr Regierungsstellen, Nichtregierungsorganisationen, Organisationen im Verteidigungs- und Bildungssektor sowie Einzelpersonen wie Politiker, Journalisten und Aktivisten gehörten.
Gezieltes Phishing ist sozusagen eine ausgeklügelte Technik Phishing, wenn ein Angreifer auf eine bestimmte Person abzielt und vorgibt, Informationen zu haben, die für sein Opfer von besonderem Interesse sind. Im Fall von SEABORGIUM und TA453 stellen sie dies sicher, indem sie frei verfügbare Ressourcen erkunden, um mehr über ihr Ziel zu erfahren.
Beide Gruppen erstellten gefälschte Profile in den sozialen Medien und gaben vor, Bekannte der Opfer oder Experten auf ihrem Gebiet und Journalisten zu sein. Normalerweise kommt es zunächst zu einem harmlosen Kontakt, da SEABORGIUM und TA453 versuchen, eine Beziehung zu ihrem Opfer aufzubauen, um dessen Vertrauen zu gewinnen. Experten weisen darauf hin, dass dies über einen längeren Zeitraum anhalten kann. Hacker senden dann einen schädlichen Link, betten ihn in eine E-Mail oder in ein freigegebenes Dokument ein Microsoft One Drive oder Google Drive.
Im Zentrum Internet-Sicherheit berichtete, dass „in einem Fall [TA453] sogar einen Zoom-Anruf arrangierte, um während des Anrufs eine bösartige URL im Chat zu teilen.“ Es wurde auch über die Verwendung mehrerer gefälschter Identitäten in einem einzigen Phishing-Angriff berichtet, um die Glaubwürdigkeit zu erhöhen.
Das Folgen der Links führt das Opfer normalerweise zu einer gefälschten Anmeldeseite, die von den Angreifern kontrolliert wird, und nach Eingabe ihrer Anmeldeinformationen werden sie gehackt. Hacker greifen dann auf die E-Mail-Posteingänge ihrer Opfer zu, um E-Mails und Anhänge zu stehlen und eingehende E-Mails auf ihre Konten umzuleiten. Darüber hinaus verwenden sie die gespeicherten Kontakte in der kompromittierten E-Mail, um bei nachfolgenden Angriffen neue Opfer zu finden und den Prozess von vorne zu beginnen.
Hacker beider Gruppen verwenden Konten von gängigen E-Mail-Anbietern, um gefälschte IDs zu erstellen, wenn sie zum ersten Mal mit einem Ziel interagieren. Sie erstellten auch gefälschte Domains für scheinbar legitime Organisationen. Unternehmen aus Internet-Sicherheit Proofpoint, das die iranische TA2020-Gruppe seit 453 verfolgt, stimmt weitgehend mit den Ergebnissen des NCSC überein: „[TA453]-Kampagnen können mit wochenlangen freundlichen Gesprächen mit von Hackern erstellten Konten beginnen, bevor sie versuchen, zu hacken.“ Sie stellten auch fest, dass zu den anderen Zielen der Gruppe medizinische Forscher, ein Luft- und Raumfahrtingenieur, ein Immobilienmakler und Reisebüros gehörten.
Darüber hinaus gab die Firma die folgende Warnung heraus: „Forscher, die an internationalen Sicherheitsfragen arbeiten, insbesondere solche, die sich auf Nahost- oder Nuklearsicherheitsstudien spezialisiert haben, sollten erhöhte Wachsamkeit walten lassen, wenn sie unerwünschte E-Mails erhalten. Beispielsweise sollten Experten, die von Journalisten kontaktiert werden, die Website der Publikation überprüfen, um sicherzustellen, dass die E-Mail-Adresse einem legitimen Reporter gehört."
Auch interessant: