Một cuộc tấn công kỹ thuật xã hội tinh vi do một bên liên kết với nhà nước Iran thực hiện đã nhắm mục tiêu vào các tổ chức tư vấn, nhà báo và giáo sư với mục đích thu thập thông tin nhạy cảm bằng cách giả danh là các học giả của Trường Nghiên cứu Phương Đông và Châu Phi (SOAS) của Đại học London.
Công ty bảo mật doanh nghiệp Proofpoint đã quy kết chiến dịch – được gọi là “Hoạt động giả mạo“- đối với mối đe dọa dai dẳng nâng cao được theo dõi là TA453, còn được biết đến với các bí danh APT35 (FireEye), Charming Kitten (ClearSky) và Phosphorous (Microsoft). Nhóm tác chiến mạng của chính phủ bị nghi có liên hệ với Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC).
Các nhà nghiên cứu cho biết: “Các mục tiêu được xác định bao gồm các chuyên gia về các vấn đề Trung Đông từ các tổ chức tư vấn, giáo sư cấp cao từ các tổ chức học thuật nổi tiếng và các nhà báo chuyên đưa tin về Trung Đông”. hãy viết ra giấy đã chia sẻ với The Hacker News. “Chiến dịch cho thấy một bước leo thang mới và sự tinh vi trong các phương pháp của TA453.”
Ở cấp độ cao, chuỗi tấn công liên quan đến tác nhân đe dọa đóng giả là các học giả người Anh với một nhóm nạn nhân được chọn lọc cao nhằm cố gắng lôi kéo mục tiêu nhấp vào liên kết đăng ký tới một hội nghị trực tuyến được thiết kế để thu thập nhiều thông tin xác thực từ Google , Microsoft, Facebook và Yahoo.
Để tạo cho nó một không khí hợp pháp, cơ sở hạ tầng lừa đảo thông tin xác thực đã được lưu trữ trên một trang web chính hãng nhưng bị xâm phạm thuộc đài SOAS của Đại học London, sử dụng các trang thu thập thông tin xác thực được cá nhân hóa ngụy trang dưới dạng liên kết đăng ký sau đó được chuyển đến những người nhận không nghi ngờ.
Ít nhất trong một trường hợp, TA453 được cho là đã gửi một email thu thập thông tin xác thực đến một mục tiêu vào tài khoản email cá nhân của họ. Các nhà nghiên cứu cho biết: “TA453 đã củng cố độ tin cậy của việc thu thập thông tin xác thực bằng cách sử dụng các nhân vật giả mạo là các chi nhánh hợp pháp của SOAS để cung cấp các liên kết độc hại.
Một số học giả SOAS đã bị mạo danh bao gồm Tiến sĩ Hanns Bjoern Kendel, một phó giáo sư nghiên cứu ngoại giao và quan hệ quốc tế, và Tiến sĩ Tolga Sinmazdemir, một giảng viên cao cấp về phương pháp luận chính trị.
Điều thú vị là TA453 cũng nhấn mạnh rằng các mục tiêu đăng nhập để đăng ký hội thảo trên web khi nhóm đang trực tuyến, làm tăng khả năng những kẻ tấn công đang “lên kế hoạch xác thực ngay lập tức các thông tin đăng nhập đã được bắt theo cách thủ công.” Các cuộc tấn công được cho là đã bắt đầu ít nhất kể từ tháng 1 năm 2021, trước khi thay đổi chiến thuật một cách tinh vi trong các chiêu trò lừa đảo tiếp theo.
Đây không phải là lần đầu tiên kẻ đe dọa thực hiện các cuộc tấn công lừa đảo thông tin xác thực. Đầu tháng 3 này, Proofpoint đã trình bày chi tiết về một “Máu xấu“chiến dịch nhắm mục tiêu đến các chuyên gia y tế cao cấp, những người chuyên nghiên cứu về di truyền, thần kinh và ung thư học ở Israel và Hoa Kỳ
Các nhà nghiên cứu cho biết: “TA453 có được quyền truy cập bất hợp pháp vào một trang web thuộc một tổ chức học thuật đẳng cấp thế giới để tận dụng cơ sở hạ tầng bị xâm phạm để thu thập thông tin xác thực của các mục tiêu đã định của họ,” các nhà nghiên cứu cho biết. “Việc sử dụng cơ sở hạ tầng hợp pháp, nhưng bị xâm phạm thể hiện sự gia tăng mức độ tinh vi của TA453 và gần như chắc chắn sẽ được phản ánh trong các chiến dịch trong tương lai. TA453 tiếp tục lặp lại, đổi mới và thu thập để hỗ trợ các ưu tiên thu thập của IRGC.”
