Centro Nacional cíber segurança da Grã-Bretanha (NCSC) relata ataques cibernéticos regulares realizados por hackers da Rússia e do Irã.
De acordo com o relatório do especialista, os grupos de hackers SEABORGIUM (também conhecido como Callisto Group/TA446/COLDRIVER/TAG-53) e TA453 (também conhecido como APT42/Charming Kitten/Yellow Garuda/ITG18) usam técnicas de phishing direcionadas para atacar instituições e pessoas particulares com o objetivo de Coletando informação.
Embora esses dois grupos não estejam em conluio, de alguma forma eles estão separados um do outro. ataque o mesmo tipo de organizações, que no ano passado incluíram órgãos governamentais, organizações não governamentais, organizações dos setores de defesa e educação, bem como indivíduos como políticos, jornalistas e ativistas.
O phishing direcionado é, por assim dizer, uma técnica sofisticada phishing, quando um invasor visa uma pessoa específica e finge ter informações de interesse particular para sua vítima. No caso de SEABORGIUM e TA453, eles garantem isso explorando recursos disponíveis gratuitamente para aprender sobre seu alvo.
Ambos os grupos criaram perfis falsos nas redes sociais e fingiram ser conhecidos das vítimas ou especialistas na sua área e jornalistas. Geralmente há um contato inofensivo no início, pois SEABORGIUM e TA453 tentam construir um relacionamento com a vítima para ganhar sua confiança. Os especialistas observam que isso pode durar um longo período. Os hackers então enviam um link malicioso, incorporam-no em um e-mail ou em um documento compartilhado para Microsoft Um Drive ou Google Drive.
No centro cíber segurança relatou que "em uma instância [TA453] até organizou uma chamada de Zoom para compartilhar um URL malicioso no chat durante a chamada". O uso de várias identidades falsas em um único ataque de phishing para aumentar a credibilidade também foi relatado.
Seguir os links geralmente leva a vítima a uma página de login falsa controlada pelos invasores e, após inserir suas credenciais, eles são hackeados. Os hackers acessam as caixas de entrada de e-mail de suas vítimas para roubar e-mails, anexos e redirecionar e-mails recebidos para suas contas. Além disso, eles usam os contatos salvos no e-mail comprometido para encontrar novas vítimas em ataques subsequentes e iniciar todo o processo novamente.
Os hackers de ambos os grupos usam contas de provedores de e-mail comuns para criar identidades falsas quando interagem pela primeira vez com um alvo. Eles também criaram domínios falsos para organizações aparentemente legítimas. Empresa de cíber segurança O Proofpoint, que rastreia o grupo TA2020 do Irã desde 453, ecoa amplamente as descobertas do NCSC: "As campanhas [TA453] podem começar com semanas de conversas amigáveis com contas criadas por hackers antes de tentar hackear". Eles também observaram que os outros alvos do grupo incluíam pesquisadores médicos, um engenheiro aeroespacial, um agente imobiliário e agências de viagens.
Além disso, a empresa emitiu o seguinte alerta: “Pesquisadores que trabalham com questões de segurança internacional, especialmente aqueles especializados em estudos do Oriente Médio ou de segurança nuclear, devem exercer maior vigilância ao receber e-mails não solicitados. Por exemplo, especialistas contatados por jornalistas devem verificar o site da publicação para garantir que o endereço de e-mail pertença a um repórter legítimo."
Também interessante: