Eind 2020 lanceerde
TA453, een Iraanse criminele groep, een phishing-campagne gericht op
senior medische professionals die gespecialiseerd zijn in genetisch, neurologisch en oncologisch onderzoek in de Verenigde Staten en Israël. TA453 (ook bekend als CHARMING KITTEN en PHOSPHORUS) heeft zich in het verleden geschaard achter de spionageactiviteiten van de Islamitische Revolutionaire Garde (IRGC). Hierbij waren meestal dissidenten, academici, diplomaten en journalisten het doelwit. Deze laatste campagne,
BadBlood genoemd, wijkt af van de gebruikelijke activiteiten van de groep.
Hoewel deze campagne een verschuiving kan betekenen in de activiteiten van TA453 in het algemeen, kan hij ook het resultaat zijn van een specifieke behoefte aan informatie op korte termijn. BadBlood past in een groeiende trend waarbij medisch onderzoek steeds vaker het doelwit is van cybercriminelen.
Onderzoekers van Proofpoint hebben deze campagne
BadBlood genoemd op basis van de medische focus en de aanhoudende geopolitieke spanningen tussen Iran en Israël.
Credential phishing-campagne:
- In deze campagne uit december 2020 gebruikte TA453 een overgenomen Gmail-account en deed zich voor als een prominente Israëlische natuurkundige. Het account (zajfman.daniel[@]gmail.com) stuurde berichten met als onderwerp "Nucleaire wapens in een oogopslag: Israël" en bevatte social engineering-berichten met betrekking tot de Israëlische nucleaire capaciteiten.
- Deze schadelijke e-mails bevatten een link naar het door TA453 beheerde domein 1drv[.]casa. Wanneer hierop wordt geklikt, leidt de URL naar een landingspagina die de OneDrive-service van Microsoft imiteert, samen met een afbeelding van een PDF-documentlogo met de naam "CBP-9075.pdf".
- Wanneer een gebruiker probeert het PDF-document te bekijken en te downloaden, opent 1drv[.]casa een vervalste Microsoft-inlogpagina waarop wordt geprobeerd de inloggegevens van de gebruiker te achterhalen.
- Pogingen om een andere hyperlink op de webpagina te gebruiken, leiden naar dezelfde vervalste Microsoft-inlogpagina, met uitzondering van de link "Create one!". Dit tabblad leidt naar de legitieme aanmeldpagina van Microsoft Outlook op hxxps://signup.live[.]com.
- Zodra de gebruiker een e-mailadres heeft ingevoerd en op "Volgende" heeft geklikt, wordt op de pagina om een wachtwoord gevraagd.
- Zodra een gebruiker zijn inloggegevens heeft ingevoerd, wordt hij doorgestuurd naar Microsofts OneDrive waar het ongevaarlijke document "Nucleaire wapens in een oogopslag: Israël" wordt gehost.
Op dit moment lijkt het er niet op dat 1drv[.]casa multifactor-authenticatie op enige manier omzeilt. Proofpoint heeft op dit moment geen verder inzicht in hoe TA453 inloggegevens heeft gebruikt die uit deze specifieke campagne zijn verkregen. Openbare rapportage van CERTFA toont wel aan dat TA453 eerder verzamelde inloggegevens heeft gebruikt om de inhoud van e-mail inboxen uit te lezen.
In enkele eerdere campagnes hebben Iraans-georiënteerde cybercriminelen, waaronder TA453, overgenomen accounts gebruikt voor verdere phishing.
Afbeelding 1: TA453-landingspagina met PDF-logo
Afbeelding 2: TA453-pagina op 1drv[.]casa waar inloggegevens worden verzameld
Afbeelding 3: Onschuldig Microsoft OneDrive-document van TA453
Doelwitten:
- TA453 richtte zich op minder dan 25 senior professionals bij een verscheidenheid aan medische onderzoeksorganisaties in de VS en Israël. Uit analyse door Proofpoint van de aanvallers en openbaar beschikbare onderzoeksactiviteiten blijkt dat TA453 zich richtte op personen met een achtergrond in genetica, oncologie, of neurologie.
- Bovendien is TA453, dat zich richt op Israëlische organisaties en personen, consistent met de toegenomen geopolitieke spanningen tussen Israël en Iran in 2020.
Hoewel Proofpoint TA453 niet met zekerheid kan toeschrijven aan de IRGC, komen de tactieken en technieken die zijn waargenomen in BadBlood overeen met die van eerdere TA453-campagnes. Maar ook de algemene focus van TA453-campagnes lijken de prioriteiten van de IRGC op het gebied van informatieverzameling te ondersteunen.
Vooruitzicht:
- TA453 heeft consequent laten zien de inhoud van e-mailboxen van typische doelwitten van de Iraanse regering, zoals de Iraanse diaspora, beleidsanalisten en onderwijzers, te willen verzamelen en exfiltreren. Deze campagne van TA453 richtte zich echter ook op medische onderzoekers en zorgverleners.
- Verdere opsporing en analyse van TA453-campagnes zal waarschijnlijk uitwijzen of deze focus een uitzondering is, of dat de medische sector een vast doelwit is geworden voor TA453.
- Hoewel de aanvallen op medische deskundigen op het gebied van genetica, neurologie en oncologie misschien geen blijvende koerswijziging is voor TA453, duidt het er wel op dat de prioriteiten bij het verzamelen van TA453 op zijn minst tijdelijk zijn gewijzigd.
- BadBlood past in een wereldwijde trend dat medisch onderzoek steeds vaker het doelwit is van spionagegerichte cybercriminelen.