www.lubbersdejong.nlwww.marcommit.nlHerken zakelijke websitebezoekerswww.EVENTIVE.nl

2515 volgers @ICTberichten
Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.Herken zakelijke websitebezoekers
Deel dit nu via
Datum: (67 dagen geleden)
Bedrijf:
PR: AxiCom

Operation SpoofedScholars - in gesprek met TA453

Sinds januari 2021 probeert TA453 gevoelige informatie van mensen te stelen door zich voor te doen als Britse academici van de School of Oriental and African Studies (SOAS) van de Universiteit van Londen. De cybercriminele groep is een APT en helpt volgens Proofpoint zeer waarschijnlijk de Islamic Revolutionary Guard Corps (IRGC) bij het verzamelen van informatie. TA453 gebruite backstopping voor zijn credential phishing-infrastructuur door een legitieme site van een hoog aangeschreven academische instelling te hacken. Daarmee werden gepersonaliseerde pagina's, vermomd als registratielinks, opgezet waarmee inloggegevens werden gestolen. Tot de doelwitten behoorden deskundigen in het Midden-Oosten, hoogleraren van bekende academische instellingen, en journalisten die gespecialiseerd zijn in het Midden-Oosten. De aanvallen waren gedetailleerd en uitgebreid, vaak inclusief lange gesprekken voordat de volgende stap in de aanvalsketen werd uitgevoerd.

Zodra het gesprek tot stand was gebracht, stuurde TA453 een 'registratielink' naar een legitieme, maar gehackte website die toebehoorde aan de SOAS-radio van de Universiteit van Londen. De gehackte site was zo ingericht dat hij veel inloggegevens kon verzamelen.

Deze operatie, SpoofedScholars genoemd, vertegenwoordigt een van de meer geraffineerde TA453-campagnes die door Proofpoint zijn geïdentificeerd.

Chatten met TA453
Begin 2021 gebruikte iemand van TA453, “Dr.Hanns Bjoern Kendel, Senior Teaching and Research Fellow at SOAS University in London”, het e-mailadres hannse.kendel4[@]gmail.com om gesprekken aan te knopen met beoogde doelwitten. Hieronder volgt een samenvatting van zo’n gesprek dat werd waargenomen door Proofpoint Threat Research:

  • TA453 stuurde een eerste e-mail naar het doelwit met daarin een uitnodiging voor een online conferentie over "De Amerikaanse veiligheidsuitdagingen in het Midden-Oosten."
  • TA453 probeerde telefonisch contact te leggen met het individu om de uitnodiging te bespreken
  • Nadat het doelwit twijfelde en nadrukkelijk aangaf een schriftelijk voorstel met de details te willen, ging TA453 akkoord en werden de details van de conferentie gedeeld
  • Na wat berichten over en weer om de interesse van het doelwit te peilen, deelde TA453 een uitnodiging voor de zogenaamde conferentie (afbeelding 1). Het gesprek werd afgesloten met een poging van TA453 om het doelwit via videoconferencing te bereiken

image
Afbeelding 1. Valse uitnodiging voor een conferentie.

Gespreksanalyse
  • TA453 beheerst de Engelse taal redelijk goed en staat open voor gesproken communicatie via videoconferentie.
  • TA453 toont veel belangstelling voor mobiele telefoonnummers, mogelijk voor het gebruik van mobiele malware of extra phishing.
  • TA453 liet herhaaldelijk weten graag in real time in contact te willen komen met het doelwit.
Campagne-overzicht

Doelwitten
De doelwitten van TA453 in Operatie SpoofedScholars kunnen worden onderverdeeld in drie hoofdcategorieën die overeenkomen met interesses van de IRGC.
  • Senior personeel van denktanks
  • Journalisten gefocust op het Midden-Oosten
  • Hoogleraren
Deze groepen beschikken over informatie die van belang is voor de Iraanse regering. Het gaat onder meer om informatie over buitenlands beleid, inzicht in Iraanse extremistische groepen en inzicht in de Amerikaanse nucleaire onderhandelingen. Bovendien zijn de meeste doelwitten al eerder doelwit geweest van TA453. De doelwitten waren zeer zorgvuldig gekozen: volgens de gegevens van Proofpoint waren minder dan tien organisaties het doelwit.

Infrastructuur
Zodra TA453 wist wanneer het doelwit de uitnodiging zou accepteren, werd de gepersonaliseerde link met het beoogde slachtoffer gedeeld. De link leidde naar een "Webinar Control Panel" op een legitieme maar gehackte website van SOAS, een onderzoeksinstituut van de Universiteit van Londen. Volgens onderzoek van Proofpoint lijkt TA453 meer rechten te hebben waarmee ze credential harvesting-pagina's op soasradio[.]org konden creëeren. Andere pagina's op de site bevatten echter nog steeds legitieme SOAS-gelieerde inhoud.

TA453 maakte de aanval geloofwaardiger door persona’s te gebruiken die zich voordeden als legitieme SOAS-leden om de schadelijke links te verspreiden. De getoonde website (Afbeelding 2) biedt gebruikers de mogelijkheid om "OpenID" te gebruiken om "in te loggen" bij wat grote mailproviders leken te zijn.

image
Afbeelding 2. Getoonde SOAS-website.

Wanneer op een van de providers wordt geklikt, verschijnt in een pop-upvenster (Afbeelding 3) het daadwerkelijke credential phishing-venster. Bij de opties Google, Microsoft en E-mail wordt het e-mailadres van het doelwit automatisch ingevuld. Op basis van de verscheidenheid aan e-mailproviders, samen met TA453's aandringen dat het doelwit inlogde wanneer TA453 online was, vermoedt Proofpoint dat TA453 van plan was om de buitgemaakte inloggegevens meteen handmatig te verifiëren.

image
Afbeelding 3. “AOL-inlogscherm”

Maanden later begon TA453 Tolga Sinmazdemir, een andere aan SOAS verbonden persoon, te spoofen. Deze emails vroegen om bijdragen voor een "DIPS Conferentie" en zouden waarschijnlijk tot een soortgelijke aanvalsketen hebben geleid als hierboven. Half mei keerde TA453 terug, gebruikmakend van een ander e-mailadres (hanse.kendel4[@]gmail.com) om slachtoffers uit te nodigen voor een webinar.

Attributie
Analisten van Proofpoint kunnen niet met zekerheid bevestigen dat TA453 deel uitmaakt van de IRGC. Echter, de tactieken en technieken gebruikt door de groep en de doelwitten die zij uitkiezen, komen overeen met die van de IRGC.

Zo is ook de specifieke attributie voor Operation SpoofedScholars gebaseerd op TTP-gelijkenissen met eerdere campagnes van TA453 en samenhang met de targeting van TA453.

Conclusie
TA453 verkreeg illegaal toegang tot een website die toebehoorde aan een gerenommeerde academische instelling. De gehackte infrastructuur werd vervolgens gebruikt om de inloggegevens van hun beoogde doelwitten te verzamelen. Sommige van de geïdentificeerden lijken niet langer actief betrokken te zijn bij de activiteiten van TA453. Toch acht Proofpoint het zeer waarschijnlijk dat TA453 doorgaat met het spoofen van academici over de hele wereld. Dit ter ondersteuning van TA453's pogingen om informatie te verzamelen voor de Iraanse overheid.

Academici, journalisten en personeel van denktanks moeten voorzichtig zijn en de identiteit verifiëren van de personen met wie ze in contact komen.
Laatste van Proofpoint  
Nederlandse zorginstellingen zijn onvoldoende beschermd tegen e-mailfraude

Proofpoint identificeert nieuwe vorm van voorschotfraude met valse cryptoplatforms

Delta-variant leidt tot toename COVID-19-thema's in e-mailaanvallen
Wereldprimeur: International Patiënt Summary (IPS) uitwisseling door Drimpy

Privacysoftwaregigant ExpressVPN zwaar onder vuur

Planners presteren áchter de schermen
Fundaments wint FY21 Global Cloud Partner of the Year award van Cohesity

Extreme Networks rond overname van Ipanema - de SD WAN-divisie van Infovista - af

Thijs Vermaat nieuwe Managing Director Experis

Vertiv introduceert het meest uitgebreide platform voor IT-beheer op de markt voor hybride en gedistribueerde netwerken en edge computing

3 op de 5 Nederlanders wil werken bij bedrijf dat diversiteit als kernwaarde heeft 

Kaspersky Smart Home Security: een nieuw product om aangesloten apparaten thuis te beschermen

Ontdek het snelste toetsenbord ter wereld – de Razer Huntsman V2

SentinelOne breidt partner ecosysteem uit met nieuwe NDR-integraties

Nieuwste platform release van ServiceNow helpt bedrijven bij de grootste uitdagingen van het hybride werken door de inzet van workflows

Sophos-onderzoek: Meer dan 2 miljoen dollar aan herstelkosten bij ransomware-aanvallen in de financiële sector

Check Point Research: zwarte markt voor valse vaccinatiecertificaten is nu volwaardige industrie

Werving stijgt weer op prioriteitenlijstje Europese bedrijven

Neobanken laten traditionele banken achter door inzet Regtech

VMware benoemt Kit Colbert tot Chief Technology Officer

Websuper Picnic haalt € 600 miljoen op om internationale groei te versnellen

Cis Marring en Marietje Schaake treden toe tot nieuwe RvC Quantum Delta NL
Geplaatst:
Verstreken tijd: 67 dagen
Proofpoint contact  

Logo Proofpoint

  +44 (0)118 402 5900
  info-bnl@proofpoint.com
  www.proofpoint.com
Proofpoint sociaal  


Proofpoint tweets  

Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken. Herken zakelijke websitebezoekers
 Spotlight  
Logo  Fundaments, Expert in Clouds
Logo Login Consultants
Logo Elbo Technology
Logo iSOC24
Logo Vabi
Logo Brixxs
Logo SoftApp BV
Logo MatrixMind
Logo Nice to Meat
Logo Fullstaq B.V.
Logo Stichting ITdonations
Logo Jortt BV
Logo NPRM NV
Logo Stylonic.nl
Logo PlanMen
Logo Facilitor
Logo VPNdiensten.nl
Logo Techone B.V.
Logo Yenlo
Logo E-mergo
Logo Orange Cyberdefense
Logo Boys with Brains
Logo MCS B.V.
Logo Xperit Solutions B.V.
Logo Medius
Logo Spryng
Logo Medius
Logo VPNdiensten.nl
Logo Experis
Logo Vertiv
Logo Visma | Raet
Logo Kaspersky
Logo Kaspersky
Logo Uniserver
Logo reichelt elektronik
Logo Barracuda Networks
Logo Citrix
Logo Eaton
Logo Poly
Logo Deliverect
Logo ManpowerGroup
Logo Lookout
Tarieven
Publicatie eenmalig €49

Publicatiebundels
- 6 publicaties €199
- 12 publicaties €349
- Onbeperkt €499

Eenmalig publiceren
- Persbericht aanleveren

Regelmatig publiceren
- Bedrijfsabonnement
Contact
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

Volg @ICTberichten
- Twitter

Zoek
- IT bedrijf
- IT PR-bureau
Over ons
Persberichten.com, hét platform voor IT persberichten

In de database
- 92062 persberichten
- 6044 bedrijfsprofielen
- 60 PR-bureauprofielen
- 10754 tags

Publicatiekenmerken
+ Behouden tekstopmaak
+ Foto/illustratie/logo
+ Downloadbare bijlages
+ Profiel met socials
 
www.lubbersdejong.nlwww.marcommit.nlHerken zakelijke websitebezoekerswww.LVTPR.com