Iranische Hackergruppe TA453 weitet Aktivitäten aus

iranische Hacker

Die mit dem Iran assoziierte Cyberkriminellen-Gruppe TA453 setzt vermehrt auf neue Angriffsmethoden und adressiert auf aggressive Weise auf neue Ziele.

Das ist das vorläufige Ergebnis laufender Ermittlungen des Cybersecurity-Unternehmens Proofpoint. Mindestens seit Ende 2020 führt die Gruppe Kampagnen durch, die von den Phishing-Techniken und den Zielgruppen abweichen, für die bisher TA453 bekannt ist. Die Gruppe nutzt kompromittierte Konten, Malware und Köder mit kontroversen Themen, um Ziele mit unterschiedlichem Hintergrund anzugreifen, von Forschern im medizinischen Bereich über Immobilienmakler bis hin zu Reisebüros.

Anzeige

Es ist wahrscheinlich, dass die neuen Vorgehensweisen die veränderten geheimdienstlichen Anforderungen der Armee der Wächter der Islamischen Revolution (informell „Revolutionsgarde“) reflektieren. Einige Aktivitäten von TA453 lassen sich möglicherweise auf eine Ad-hoc-Direktive der Revolutionsgarde zurückführen, verdeckte Operationen ebenso zu unterstützen wie sogenannte „kinetische“ Operationen, also solche, die sich darauf richten, Systeme zu beschädigen, die z.B. für die kritische Infrastruktur notwendig sind.

Sherrod DeGrippo, Senior Director Threat Research and Detection bei Proofpoint, kommentiert: „Die mit dem Iran assoziierte Cyberkriminellen-Gruppe TA453 war in den letzten Jahren sehr aktiv. 2022 haben wir beobachtet, wie diese Gruppe eine Social-Engineering-Technik einsetzte, die wir als Multi-Persona-Impersonation bezeichnen. Zudem haben wir Kampagnen entdeckt, bei denen TA453 von seinen Standardvorgehensweise abgewichen ist. TA453 greift auf aggressivere Weise neue Ziele mit neuen Techniken an. Das verschafft auch Einblicke in die Ziele der Revolutionsgarde und in das flexible Mandat, unter dem TA453 arbeitet.“

Überblick der Untersuchungen zu den jüngsten Aktivitäten von TA453

Seit Ende 2020 beobachten Proofpoint-Forscher Abweichungen bei den Phishing-Aktivitäten von TA453 (die sich mit Gruppen überschneidet, die öffentlich als „Charming Kitten“, „PHOSPHORUS“ und „APT42“ bekannt sind), bei denen die Gruppe neue Methoden einsetzt und andere Ziele als in der Vergangenheit ins Visier nimmt. E-Mail-Kampagnen von TA453 hatten sich zuvor fast immer auf Akademiker, Forscher, Diplomaten, Dissidenten, Journalisten und Menschenrechtsaktivisten gerichtet und Web-Beacons in den Nachrichtentexten verwendet, bevor sie schließlich versuchten, die Anmeldedaten der Zielperson abzugreifen. Solche Kampagnen können mit wochenlangen harmlosen Konversationen über von den Akteuren erstellte Konten beginnen, bevor sie mit den eigentlichen Angriff starten.

Anzeige

Die neuartigen Kampagnen von TA453 adressieren u. a. Forscher im medizinischen Bereich, einen Luft- und Raumfahrtingenieur, einen Immobilienmakler und Reisebüros. Sie nutzen für TA453 neue Phishing-Techniken, darunter kompromittierte Konten, Malware und Köder mit kontroversen Themen. Es ist wahrscheinlich, dass die neuen Vorgehensweisen die veränderten geheimdienstlichen Anforderungen der Revolutionsgarde reflektieren. Die neuartigen Aktivitäten bietet Experten auch ein besseres Verständnis des Mandats der Revolutionsgarde und einen Einblick in die mögliche Unterstützung von TA453 für verdeckte und „kinetische“ Operationen.

Erwartungsgemäßes Verhalten

Proofpoint verfolgt etwa sechs Untergruppen von TA453, die sich in erster Linie nach Zielgruppen, Techniken und Infrastruktur unterscheiden. Unabhängig von der Untergruppe richtet sich TA453 in der Regel an Akademiker, politische Entscheidungsträger, Diplomaten, Journalisten, Menschenrechtsaktivisten, Dissidenten und Forscher mit Fachwissen über den Nahen Osten. Die von TA453 registrierten E-Mail-Konten stimmen in der Regel thematisch mit ihren Zielen überein, und die Cyberkriminellen verwenden in ihren E-Mail-Kampagnen bevorzugt Web-Beacons. TA453 verlässt sich in hohem Maße auf harmlose Konversationen, um Kontakt mit den Zielpersonen aufzunehmen — Proofpoint hat 2022 mehr als 60 solcher Kampagnen beobachtet. TA453 sendet fast immer Links zum Sammeln von Anmeldeinformationen mit der Absicht, Zugang zum Posteingang der Zielperson zu erhalten und E-Mail-Inhalte auszuspionieren. Einige Untergruppen unterhalten sich wochenlang, bevor sie die bösartigen Links versenden, während andere den bösartigen Link sofort mit der ersten E-Mail versenden.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Neuartige Methoden und Zielgruppen

Die Experten von Proofpoint haben eine Reihe von Neuheiten in den Vorgehensweisen von TA453 beobachtet, die bisher, wenn überhaupt, nur wenig öffentliche Aufmerksamkeit erhalten haben:

Kompromittierte Konten

  • Zeitweise nutzte eine Untergruppe von TA453 kompromittierte Konten, um Einzelpersonen anzugreifen, anstatt von den Akteuren kontrollierte Konten zu verwenden.
  • Diese Gruppe nutzte URL-Verkürzer wie bnt2[.]live und nco2[.]live, die auf typische TA453-Seiten zum Sammeln von Anmeldeinformationen umleiteten.
  • Beispielsweise wurde 2021, etwa fünf Tage nachdem sich ein US-Regierungsvertreter öffentlich zu den Verhandlungen zum Nuklearpakt mit dem Iran geäußert hatte, der Pressesprecher des Beamten über ein kompromittiertes E-Mail-Konto eines lokalen Reporters angegriffen.

Malware

  • Im Herbst 2021 wurde GhostEcho (CharmPower), eine PowerShell-Backdoor, an verschiedene diplomatische Vertretungen in Teheran gesendet.
  • Während des gesamten Herbstes 2021 wurde GhostEcho weiterentwickelt, wie Änderungen an der Verschleierung und an der Kill Chain zeigen, um der Entdeckung zu entgehen.
  • GhostEcho ist eine relativ milde erste Stufe der Attacke, die dazu dient, auf Spionage ausgerichtete Folgefähigkeiten zu liefern, wie von Checkpoint Research dokumentiert.
  • Aufgrund von Ähnlichkeiten in den Übermittlungstechniken vermutet Proofpoint, dass GhostEcho Ende 2021 auch an Frauenrechtsaktivisten übermittelt wurde.

Köder mit kontroversen Themen

  • TA453 hat insbesondere eine fiktive Person, Samantha Wolf, für konfrontative Social-Engineering-Köder eingesetzt, die das Gefühl der Unsicherheit und Angst der Zielpersonen ausnutzen sollen, um sie dazu zu bringen, auf die E-Mails des Cyberkriminellen zu reagieren.
  • Samantha hat diese Köder, die u. a. Autounfälle und allgemeine Beschwerden thematisieren, an US-amerikanische und europäische Politiker und Regierungsstellen, ein Energieunternehmen im Nahen Osten und einen in den USA ansässigen Wissenschaftler geschickt.

Weitere Informationen:

Den kompletten englischsprachigen Blogbeitrag können Sie hier lesen

www.proofpoint.com

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.