ProgressCommunications.euwww.lubbersdejong.nlwww.marcommit.nl
INFLUX PRINFLUX PRProgressCommunications.eu

x.com/ictberichten
Deel dit nu via
Datum: (2 jaar en 60 dagen geleden)
Bedrijf:
PR: AxiCom

TA453 wijkt af van verwachtingen

Quote van Sherrod DeGrippo, Vice President, Threat Research and Detection bij Proofpoint

"De Iraanse hackersgroep TA453 is de afgelopen jaren behoorlijk druk geweest. Alleen al in 2022 namen onderzoekers van Proofpoint waar dat deze groep een social engineering-techniek gebruikte die we Multi-Persona Impersonation noemen. En nu delen we onze bevindingen over aanvallen waarbij TA453 afweek van hun gebruikelijke methoden. Ze richtten zich op nieuwe doelwitten met nieuwe technieken met meer vijandige bedoelingen. De gehele missie vertegenwoordigt de ambities van de Islamitische Revolutionaire Garde (IRGC) en het flexibele mandaat waaronder TA453 opereert."

Overzicht
Proofpoint volgt een zestal subgroepen van TA453, die zich vooral onderscheiden door het kiezen van verschillende doelwitten, aanvalsmethoden en infrastructuur. Eén ding is echter bij elke aanval hetzelfde: de hackersgroep richt zich op academici, beleidsmakers, diplomaten, journalisten, mensenrechtenactivisten, dissidenten en onderzoekers met expertise in het Midden-Oosten. De door TA453 geregistreerde e-mailaccounts komen meestal inhoudelijk overeen met hun doelwitten en gebruiken bij voorkeur web beacons in hun e-mailcampagnes. TA453 vertrouwt sterk op persoonlijke gesprekken om in contact te komen met doelwitten. Zo nam Proofpoint in 2022 meer dan 60 van dit soort aanvallen waar.

TA453 gebruikt bijna altijd credential harvesting links (een vorm van phishing) om toegang te krijgen tot de inbox van een doelwit. Sommige subgroepen praten wekenlang met elkaar voordat ze de kwaadaardige links afleveren, terwijl anderen de link gelijk in de eerste e-mail al versturen.

TA453 breidt zijn methoden en doelgroepen uit
Vanaf eind 2020 begonnen onderzoekers van Proofpoint aanvallen waar te nemen die afweken van de gebruikelijke methoden van TA453. Deze kregen weinig of geen aandacht, daarom besloot Proofpoint de inzichten in dit rapport te delen. De aanvallen maakten met name gebruik van methoden die niet eerder werden geassocieerd met de e-mailaanvallen van TA453, zoals:

Gecompromitteerde accounts
  • In sommige gevallen gebruikte een subgroep van TA453 gecompromitteerde accounts om personen aan te vallen in plaats van accounts die door hackers werden beheerd.
  • Zo werd in 2021, ongeveer vijf dagen nadat een Amerikaanse ambtenaar zich publiekelijk uitsprak over de onderhandelingen rond het Joint Comprehensive Plan of Action (JCPOA), de persvoorlichter van de ambtenaar het doelwit van aanval.
Malware
  • In de herfst van 2021 werd GhostEcho (CharmPower), een PowerShell-backdoor, verzonden naar verschillende diplomatieke missies in Teheran.
  • GhostEcho is een lichtgewicht eerste fase backdoor die wordt gebruikt voor spionage, zo blijkt uit onderzoek van CheckPoint.
  • Op basis van overeenkomsten in de bezorgtechnieken vermoedt Proofpoint dat GhostEcho eind 2021 ook werd geleverd aan vrouwenrechtenactivisten, maar de payload was niet beschikbaar ten tijde van Proofpoints analyse.
Lokmiddelen
  • TA453 gebruikt één personage in het bijzonder, Samantha Wolf, voor social engineering, bedoeld om het gevoel van onveiligheid en angst van een doelwit te gebruiken om hen te laten reageren op e-mails van de hackers.
  • Samantha heeft deze lokmiddelen, waaronder thema's als auto-ongelukken en algemene klachten, verzonden naar Amerikaanse en Europese politici en overheidsinstanties, een energiebedrijf in het Midden-Oosten en een Amerikaanse academicus.
Meer hierover is te lezen op de blog van Proofpoint: https://www.proofpoint.com/us/blog/threat-insight/ta453-refuses-be-bound-expectations

Toewijzing
Proofpoint is ervan overtuigd dat TA453 over het algemeen opereert ter ondersteuning van de IRGC, in het bijzonder de IRGC Intelligence Organization (IRGC-IO). Dit is gebaseerd op verschillende bewijzen, waaronder overeenkomsten in nummering tussen Charming Kitten rapporten en IRGC divisies zoals geïdentificeerd door PWC, de aanklacht van het Amerikaanse ministerie van Justitie tegen Monica Witt, en aan de IRGC gelieerde aanvallers, en een analyse van TA453's doelwitten vergeleken met gerapporteerde prioriteiten van de IRGC-IO. Proofpoint gelooft dat de toename van aanvallen kan wijzen op samenwerking met een andere tak van de Iraanse staat, namelijk de IRGC Quds Force.

Het groeperen van cyberaanvallen is vaak moeilijk wanneer er met verschillende tools wordt gemeten. Proofpoint ziet TA453 momenteel overlappen met PHOSPHORUS, APT42 en Yellow Garuda, die allemaal als Charming Kitten kunnen worden beschouwd.


Charming Kitten subgroepen

TA453 ontwikkelt zich voortdurend in termen van tools, tactieken, methoden en doelwitten. De door Proofpoint waargenomen aanvallen zullen waarschijnlijk doorgaan en vormen een afspiegeling van de eisen die de IRGC stelt aan het verzamelen van informatie, waaronder mogelijke steun voor vijandige en zelfs militaire operaties.
Geplaatst:
Verstreken tijd: 2 jaar en 60 dagen
Proofpoint contact  

Logo Proofpoint
  +44 (0)118 402 5900
  info-bnl@proofpoint.com
  www.proofpoint.com

Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.
 Spotlight  
Logo E-mergo
Logo Axians
Logo RawWorks B.V.
Logo Easystart Office
Logo Nautilus OT
Logo Northwave Cyber Security
Logo Companial
Logo 9altitudes Nederland BV
Logo ClockAssist
Logo Human Journey
Logo The Factory
Logo Hively Nederland B.V.
Logo Reflex Online BV
Logo Awareways
Logo Decos
Logo E-mergo
Logo Networking4ALL
Logo Frontline Solutions
Logo Nautilus OT
Logo Northwave Cyber Security
Logo Techone B.V.
Logo Frontline Solutions
Logo Frontline Solutions
Logo Guardian360 bv
Logo Techone B.V.
Logo BarTrack
Logo Facilitor
Logo Twenty Four Webvertising
Logo SCOS Automaton BV
Logo SCOS Automaton BV
Logo Aronto
Logo Marketingscriptie.nl
Logo Kaspersky
Logo NetApp
Logo reev
Logo Pegasystems
Logo NOBEARS
Logo Lightspeed
Logo Conclusion MBS
Logo Bo5 - online marketing
Logo NTT DATA
Logo Vertiv
Logo Techleap.nl
Logo AvePoint
Logo Bidfood
TARIEVEN
• Publicatie eenmalig €49

PUBLICATIEBUNDELS
6 voor €199
12 voor €349
Onbeperkt €499

EENMALIG PLAATSEN
Persbericht aanleveren

REGELMATIG PLAATSEN
Bedrijfsabonnement
CONTACT
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

VOLGEN
@ICTBERICHTEN

ZOEKEN
IT bedrijf
IT PR-bureau
OVER ONS
Persberichten.com, hét platform voor IT/Tech persberichten

DATABASE
100718 persberichten
6766 bedrijfsprofielen
53 PR-bureauprofielen
15341 tags

KENMERKEN
• Behouden tekstopmaak
• Foto/illustratie/logo
• Downloadbare bijlages
• Profiel met socials
 
ProgressCommunications.euwww.lubbersdejong.nlwww.marcommit.nl
INFLUX PRProgressCommunications.euProgressCommunications.eu