Ciljani phishing napadi povezani su s više aktera koji su se svaki zasebno usredotočili na krađu login i osjetljivih podataka a meta su novinari i njihove geolokacije.
U izvještaju Proofpointa, istraživači ocrtavaju pojedinačne napore skupina za naprednu upornu prijetnju (APT) za koje kažu da su povezane s Kinom, Sjevernom Korejom, Iranom i Turskom. Napadi su započeli početkom 2021. i još su u toku, kažu istraživači.
Prema izvještaju, APT-ovi djeluju neovisno jedni o drugima, ali dijele isti opći cilj ciljanja novinara. Taktike su također slične, s akterima prijetnji koji ciljaju e-poštu i račune na društvenim mrežama kao napade na krađu identiteta u kampanjama cyber špijunaže.
Često se predstavljajući kao sami novinari, akteri prijetnji usredotočili su se na phishing kampanje s ciljem skupljanja login podataka, krađe podataka koji su korisni određenim režimima i digitalnog nadzora političkih novinara.
Napadi su obično uključivali neku vrstu društvenog inženjeringa kako bi se smanjila zaštita od meta kako bi ih se nagovorilo da preuzmu i izvrše razne zlonamjerne sadržaje na svoje osobne digitalne uređaje, kažu istraživači. Mamci su uključivali e-poštu i poruke poslane putem različitih platformi društvenih medija o temama vezanim uz područje njihovog političkog fokusa, rekli su istraživači
U raznim slučajevima napadači bi se pritajili, obavili infekciju zlonamjernim softverom, kako bi stekli pristup mreži primatelja i proveli izviđanje mreže te širili dodatne infekcije zlonamjernim softverom unutar ciljne mreže.
Sekundarne taktike uključivale su praćenje ili nadzor novinara. Proofpoint je rekao da su protivnici koristili web mamce postavljene na uređaje novinara kako bi izvršili nadzor.
Iako najnoviji izvještaj prati neke od najnovijih aktivnosti protiv novinara, ciljanje ove skupine pojedinaca svakako nije novost, s obzirom na vrstu informacija kojima novinari imaju pristup kada su u pitanju politička i socioekonomska pitanja, istaknuli su.
“Akteri APT-a, bez obzira na njihovu državnu pripadnost, imaju i vjerovatno će uvijek imati mandat za ciljanje novinara i medijskih organizacija te će koristiti povezane osobe za postizanje svojih ciljeva i prioriteta prikupljanja”, napisali su istraživači.
Štoviše, malo je vjerovatno da će APT-ovi fokus na medije ikada prestati, što bi trebalo potaknuti novinare da učine sve što mogu kako bi osigurali svoju komunikaciju i osjetljive podatke, rekli su.
Ciljani novinari i u SAD
Između januara i februara 2021., istraživači Proofpointa identificirali su pet kampanja kineskog APT TA412, također poznatog kao Zirconium, koje ciljaju novinare koji žive u SAD-u, ponajviše one koji pokrivaju američku politiku i nacionalnu sigurnost tokom događaja koji su privukli međunarodnu pozornost, kažu istraživači.
Način na koji su osmišljene kampanje ovisio je o trenutnoj političkoj klimi u SAD-u, a napadači su mijenjali mete ovisno o tome koji novinari pokrivaju teme za koje je kineska vlada zainteresirana, rekli su.
Jedna izviđačka phishing kampanja dogodila se u danima koji su neposredno prethodili napadu 6. januara na zgradu američkog Kapitola, a napadači su se u to vrijeme fokusirali posebno na dopisnike iz Bijele kuće i Washingtona, rekli su.
Napadač je koristio naslove izvučene iz nedavnih američkih novinskih članaka koji se odnose na relevantne političke teme u to vrijeme, uključujući akcije bivšeg predsjednika Donalda Trumpa, američke političke pokrete povezane s Kinom i, u novije vrijeme, američki stav i uključenost u ruski rat protiv Ukrajine, istraživači rekao je.
U promatranim kampanjama, Zirconium je koristio kao svoje web beaconemamce, što je taktika u skladu sa zlonamjernim kampanjama cyberšpijunaže protiv novinara koje APT provodi od 2016., kažu istraživači.
Web mamci, koji se obično nazivaju pikseli za praćenje, beaconi za praćenje ili web bugovi, ugrađuju nevidljivi objekt s hipervezom unutar tijela e-pošte koji, kada je omogućen, pokušava dohvatiti benignu slikovnu datoteku s poslužitelja kojim upravlja akter.
“Istraživači Proofpointa procjenjuju da su ove kampanje bile namijenjene potvrđivanju jesu li ciljane e-poruke aktivne i dobivanju osnovnih informacija o mrežnim okruženjima primatelja”, napisali su.
Istraživači su primijetili još jedan APT koji podržava Kina, TA459, krajem aprila 2022. ciljajući na medijsko osoblje u jugoistočnoj Aziji s e-porukama koje sadrže zlonamjerni RTF attachment Royal Roada, ako se otvori, instalirat će i pokrenuti zlonamjerni softver Chinoxy – stražnja vrata koja se koriste za postizanje pristupa računaru žrtve.
Viljani subjekt bio je odgovoran za izvještavanje o sukobu Rusije i Ukrajine, što je u skladu s povijesnim mandatom TA459 prikupljanja obavještajnih podataka vezanih uz Rusiju i Bjelorusiju, primijetili su istraživači.
Lažne prilike za posao iz Sjeverne Koreje
Istraživači su također primijetili TA404, koji je povezan sa Sjevernom Korejom, poznatiji kao Lazarus, početkom 2022. kako cilja medijsku organizaciju sa sjedištem u SAD-u phishing napadima za koje se činilo da novinarima nude prilike za posao u renomiranim tvrtkama, izvijestili su. Napad podsjeća na sličan napad na inženjere koji je skupina izvela 2021.
“Počelo je s izviđačkim phishingom koji je koristio URL-ove prilagođene svakom primatelju”, napisali su istraživači o nedavnoj phishing kampanji. “URL-ovi su oponašali oglas za posao s odredišnim stranicama koje su dizajnirane da izgledaju kao web stranica za oglase za posao.”
Međutim, stranice su bile lažne, a URL-ovi su bili naoružani za prijenos identifikacijskih informacija o računaru ili uređaju s kojeg je netko radio kako bi omogućili hostu da prati željenu metu, rekli su istraživači.
APT koji podržava Turska cilja na Twitter login podatke
APT-ovi s navodnim vezama s turskom vladom također su ciljali novinare, a jedna kampanja uključuje jednog “produktivnog aktera prijetnje” TA482 koji je primijetio Proofpoint. Prema istraživačima, APT je aktivno ciljao na novinare od početka 2022., putem Twitter računa u nastojanju da ukrade login podatke od uglavnom američkih novinara i medijskih organizacija.
Čini se da je motiv iza skupine širenje propagande potpore predsjedniku Recepu Tayyipu Erdoanu, turskoj vladajućoj stranci, Stranci pravde i razvoja, iako se to ne može sa sigurnošću potvrditi, primijetili su istraživači.
Kampanje koriste phishing e-poruke koje se obično odnose na sigurnost Twittera—upozoravaju korisnika na sumnjivu prijavu—kako bi privukle pažnju primatelja, odvodeći ih na stranicu za prikupljanje login podataka koja lažno predstavlja Twitter ako kliknu na poveznicu.
Iranski APTs skuplja login podatke
APT-ovi povezani s Iranom bili su posebno aktivni u svojim napadima na novinare i novine, obično se predstavljajući kao sami novinari u napadima kako bi se uključili u nadzor nad ciljevima i prikupili njihove login podatke, otkrio je Proofpoint.
Jedan od najaktivnijih počinitelja ovih napada je TA453, poznat kao Charming Kitten, ozloglašena skupina povezana s naporima iranske Islamske revolucionarne garde u prikupljanju obavještajnih podataka, rekao je Proofpoint.
Ova je skupina poznata po tome što se maskira u novinare iz cijelog svijeta kako bi podjednako ciljala na novinare, akademike i istraživače upuštajući se u rasprave o vanjskoj politici ili druge teme vezane uz Bliski istok, nakon čega će biti pozvani na virtualne sastanke putem prilagođenog, ali benignog PDF-a.
Međutim, PDF—obično isporučen od usluga hostinga datoteka—gotovo uvijek sadrži poveznicu na skraćivač URL-ova i IP tracker koji preusmjerava mete na domene za prikupljanje login podataka koje kontroliraju akteri, kažu istraživači.
TA456, također poznat kao Tortoiseshell, još je jedan akter prijetnje povezan s Iranom koji se rutinski predstavlja kao medijska organizacija za ciljanje novinara e-poštom s temom biltena koji sadrži web svjetionike koji mogu pratiti mete.
Još jedan iranski državni akter TA457, krije se iza lažne medijske organizacije pod nazivom “iNews Reporter” kako bi dostavio zlonamjerni softver osoblju za odnose s javnošću firmu koje se nalaze u Sjedinjenim Državama, Izraelu i Saudijskoj Arabiji, kažu istraživači. Između septembra 2021. i marta 2022., Proofpoint je promatrao kampanje plodnog aktera prijetnji koje su se događale otprilike svake dvije do tri sedmice, rekli su.
U jednoj kampanji koja se dogodila u maru 2022., TA457 je poslao e-poruku s ironičnim naslovom “Iran Cyber War” koja je na kraju ispustila trojanca za daljinski pristup u mašine žrtava. Istraživači su izvijestili da kampanja cilja na pojedinačne i grupne adrese e-pošte nekolicine kupaca Proofpointa uključenih u energetiku, medije, vladu i proizvodnju.
IZVOR: Threatpost
