Eine Cyber-Spionagegruppe, die mit dem Korps der Islamischen Revolutionsgarde (IRGC) des Iran verbündet ist, wurde beobachtet, wie sie in den letzten zwei Jahren neue Ziele angegriffen hat, darunter Mediziner, ein Luft- und Raumfahrtingenieur und sogar ein Immobilienagent aus Florida.
Die Gruppe, die als TA453 verfolgt wird, aber auch allgemein als Phosphorus, Charming Kitten und APT42 bezeichnet wird, hat laut a immer Forscher und Gelehrte aus dem Nahen Osten, politische Entscheidungsträger, Journalisten und Dissidenten angegriffen Bericht wurde am Mittwoch von der Sicherheitsfirma Proofpoint veröffentlicht. Aber Abweichungen sowohl in ihrer Ausrichtung als auch in ihren Taktiken in den letzten Monaten deuten darauf hin, dass die Gruppe ihre Operationen neu ausgerichtet hat, um den Geheimdienstbedarf des IRGC zu decken.
„Sie greifen neue Ziele mit neuen Techniken und mit feindseligerer Absicht an“, sagte Sherrod DeGrippo, Vice President, Threat Research and Detection von Proofpoint, The Record in einer E-Mail. „All dies dient als Fenster zu den Zielen des Korps der Islamischen Revolutionsgarde und dem flexiblen Mandat, unter dem TA453 arbeitet.“
Proofpoint sagte, es habe Ende 2020 begonnen, Unterschiede bei der Ausrichtung von TA453 zu beobachten, nämlich als beobachtet wurde, wie die Gruppe hochrangige Fachleute an verschiedenen Orten angriff medizinische Forschungsorganisationen in den Vereinigten Staaten und Israel mit Credential Harvesting-Angriffen. Die Zielpersonen hatten hauptsächlich einen Hintergrund in Genetik, Onkologie und Neurologie.
Im Juli und August 2021 identifizierten Proofpoint-Forscher Spear-Phishing-Angriffe, die auf Wissenschaftler mit einer Ausbildung in Frauen- und Geschlechterforschung an verschiedenen nordamerikanischen Universitäten abzielten. Etwa zur gleichen Zeit wurden „mehrere iranische Reisebüros, die von Teheran aus operieren“, Ziel einer von der Gruppe gestarteten Operation zum Sammeln von Anmeldeinformationen – wahrscheinlich, um Details über die Bewegung von Iranern aus dem Iran ins Ausland zu sammeln.
Ein weiterer Vorfall, der von der traditionellen Ausrichtung der Gruppe abwich, war ein Angriff im Februar 2022, der sich auf einen in Florida ansässigen Immobilienmakler konzentrierte, „der am Verkauf mehrerer Häuser in der Nähe des Hauptquartiers des U.S. Central Command beteiligt war“. CENTCOM ist das US-Kampfkommando, das für militärische Operationen im Nahen Osten zuständig ist.
Zusätzlich zu der Targeting-Änderung sagten Proofpoint-Forscher, dass TA453 in den letzten Monaten neue Techniken eingeführt hat. Beispielsweise hat die Gruppe in der Vergangenheit E-Mail-Konten erstellt und sie verwendet, um Phishing-E-Mails an potenzielle Opfer zu senden, hat aber kürzlich damit begonnen, kompromittierte Konten zu verwenden, um Einzelpersonen anzugreifen.
In einem Beispiel aus dem Jahr 2021 wurde ein Pressesprecher eines namentlich nicht genannten US-Regierungsbeamten, der das Atomabkommen mit dem Iran öffentlich kommentierte, über ein kompromittiertes E-Mail-Konto eines lokalen Journalisten angegriffen.
Andere Techniken umfassen die Verwendung von GhostEcho, einer Hintertür, die verwendet wird, um „spionageorientierte Tracking-Fähigkeiten bereitzustellen“, sobald die Partei Zugang zu einem Opfer erhält, und die Verwendung einer benannten Figur, „Samantha Wolf“, für spaltende Social-Engineering-Köder.
In einer von Proofpoint geteilten E-Mail-Köderung sagt Wolfs Charakter, der Empfänger habe „einen Unfall mit meinem Auto verursacht“ und brauche ihn, „um dies so schnell wie möglich zu beheben“.
„Ende 2022 begegnete Samantha noch mehr Menschen, mit denen sie Anstoß nahm, und schickte weitere harmlose Chat-E-Mails mit Beschwerdethemen an hochrangige US- und europäische Regierungsbeamte“, sagten die Forscher.