Hackers iraníes que se hacen pasar por científicos atacan a profesores y escritores en Oriente Medio

piratas informáticos iraníes

Un sofisticado ataque a la ingeniería social por parte de un actor involucrado en el estado iraní se ha dirigido a grupos de expertos, periodistas y profesores para obtener información confidencial haciéndose pasar por académicos de la Escuela de Estudios Orientales y Africanos (SOAS) de la Universidad de Londres.

La firma de seguridad corporativa Proofpoint ha acreditado una campaña llamada «Operación SpoofedScholars«- una amenaza persistente avanzada rastreada como TA453, también conocida como los alias APT35 (FireEye), Charming Kitten (ClearSky) y Phosphorous (Microsoft). Se sospecha que el grupo gubernamental Cyber ​​​​Wars realiza trabajos de inteligencia en nombre del Revolucionario Islámico Cuerpo de Guardia (IRGC). .

«Los objetivos identificados incluyeron expertos de grupos de expertos de Medio Oriente, profesores senior de reconocidas instituciones académicas y periodistas especializados en inteligencia de Medio Oriente», dijeron los investigadores en un documento técnico compartido con The Hacker News. «La campaña muestra una nueva escalada y sofisticación de los métodos TA453».

En un alto nivel, un actor de amenazas que se hace pasar por un científico británico ante un grupo de víctimas altamente selectivas se unió a la cadena de ataques en un intento de atraer a un objetivo a un enlace de registro en una conferencia en línea diseñada para capturar varias credenciales de Google. , Microsoft, Facebook y Yahoo.

Para dar un toque de legitimidad, la infraestructura de phishing de credenciales se colocó en un sitio web real pero comprometido de SOAS Radio University of London, que luego entregó sitios de credenciales personalizados disfrazados de enlaces de registro a destinatarios desprevenidos.

En al menos un caso, se dice que el TA453 envió un correo electrónico de recopilación de credenciales de destino a su cuenta de correo electrónico personal. «TA453 ha fortalecido la credibilidad del intento de credencial mediante el uso de pretendientes para ser afiliados legítimos de SOAS para entregar enlaces maliciosos», dijeron los investigadores.

Curiosamente, TA453 también insistió en que los objetivos inicien sesión y se registren para el seminario web cuando el grupo esté en línea, lo que aumenta la posibilidad de que los atacantes «planifiquen la verificación inmediata de las credenciales capturadas manualmente». Se espera que los ataques comiencen en enero de 2021, antes de que el grupo cambie sutilmente sus tácticas en los subsiguientes cebos de phishing por correo electrónico.

Esta no es la primera vez que un actor de amenazas lanza un ataque de phishing. A principios de marzo, Proofpoint describió en detalle la campaña «BadBlood» dirigida a profesionales médicos de alto nivel que se especializan en investigación genética, neurológica y oncológica en Israel y Estados Unidos.

«TA453 obtuvo acceso ilegalmente a un sitio web que pertenece a una institución académica de clase mundial para utilizar la infraestructura comprometida para obtener credenciales para sus objetivos previstos», dijeron los investigadores. «El uso de una infraestructura legítima pero comprometida es un aumento en la sofisticación del TA453 y casi seguramente se reflejará en futuras campañas. El TA453 continúa iterando, innovando y reuniendo para apoyar las prioridades de recolección del IRGC».

ACTUALIZACIONES – Un portavoz de la Escuela de Estudios Africanos y Orientales (SOAS) de la Universidad de Londres dijo en un correo electrónico a The Hacker News:

«Entendemos que los piratas informáticos crearon cuentas de Gmail para hacerse pasar por académicos y crearon un sitio ficticio para tratar de recopilar datos de las personas a las que apuntaban. Este sitio ficticio estaba alojado en SOAS Radio, una estación de radio en línea independiente y una productora con sede en SOAS El sitio web es independiente del sitio web oficial de SOAS y no forma parte de ninguno de nuestros dominios académicos. Entendemos que el objetivo no era SOAS en sí mismo, sino personas externas.

«Para ser claros, por supuesto, los académicos de SOAS no están involucrados en este proceso, y ninguna acción o declaración del personal de SOAS los ha llevado a ser engañados de esta manera. Ninguno de los miembros del personal de SOAS ha indicado una violación de seguridad cibernética».

«No se obtuvieron datos personales de SOAS en relación con la creación del sitio web ficticio y ninguno de nuestros sistemas de datos (por ejemplo, registros de estudiantes y personal, información financiera, correos electrónicos y sitios web básicos ac.uk, etc.) estuvo involucrado. o afectados. Nuestros sistemas de seguridad cibernética para nuestros sistemas centrales son robustos y adecuados para su propósito.

«Tan pronto como nos enteramos del sitio ficticio a principios de este año, inmediatamente cometimos una violación e informamos la violación de la manera normal. Verificamos cómo sucedió esto y tomamos medidas para mejorar aún más la protección de este tipo de sistema periférico».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática