Quote van Sherrod DeGrippo, Vice President, Threat Research and Detection bij Proofpoint
"De Iraanse hackersgroep TA453 is de afgelopen jaren behoorlijk druk geweest. Alleen al in 2022 namen onderzoekers van Proofpoint waar dat deze groep een social engineering-techniek gebruikte die we Multi-Persona Impersonation noemen. En nu delen we onze bevindingen over aanvallen waarbij TA453 afweek van hun gebruikelijke methoden. Ze richtten zich op nieuwe doelwitten met nieuwe technieken met meer vijandige bedoelingen. De gehele missie vertegenwoordigt de ambities van de Islamitische Revolutionaire Garde (IRGC) en het flexibele mandaat waaronder TA453 opereert."
Overzicht
Proofpoint volgt een zestal subgroepen van TA453, die zich vooral onderscheiden door het kiezen van verschillende doelwitten, aanvalsmethoden en infrastructuur. Eén ding is echter bij elke aanval hetzelfde: de hackersgroep richt zich op
academici, beleidsmakers, diplomaten, journalisten, mensenrechtenactivisten, dissidenten en onderzoekers met expertise in het Midden-Oosten. De door TA453 geregistreerde e-mailaccounts komen meestal inhoudelijk overeen met hun doelwitten en gebruiken bij voorkeur web beacons in hun e-mailcampagnes. TA453 vertrouwt sterk op persoonlijke gesprekken om in contact te komen met doelwitten. Zo nam Proofpoint in 2022 meer dan 60 van dit soort aanvallen waar.
TA453 gebruikt bijna altijd credential harvesting links (een vorm van phishing) om toegang te krijgen tot de inbox van een doelwit. Sommige subgroepen praten wekenlang met elkaar voordat ze de kwaadaardige links afleveren, terwijl anderen de link gelijk in de eerste e-mail al versturen.
TA453 breidt zijn methoden en doelgroepen uit
Vanaf eind 2020 begonnen onderzoekers van Proofpoint aanvallen waar te nemen die afweken van de gebruikelijke methoden van TA453. Deze kregen weinig of geen aandacht, daarom besloot Proofpoint de inzichten in dit rapport te delen. De aanvallen maakten met name gebruik van methoden die niet eerder werden geassocieerd met de e-mailaanvallen van TA453, zoals:
Gecompromitteerde accounts
- In sommige gevallen gebruikte een subgroep van TA453 gecompromitteerde accounts om personen aan te vallen in plaats van accounts die door hackers werden beheerd.
- Zo werd in 2021, ongeveer vijf dagen nadat een Amerikaanse ambtenaar zich publiekelijk uitsprak over de onderhandelingen rond het Joint Comprehensive Plan of Action (JCPOA), de persvoorlichter van de ambtenaar het doelwit van aanval.
Malware
- In de herfst van 2021 werd GhostEcho (CharmPower), een PowerShell-backdoor, verzonden naar verschillende diplomatieke missies in Teheran.
- GhostEcho is een lichtgewicht eerste fase backdoor die wordt gebruikt voor spionage, zo blijkt uit onderzoek van CheckPoint.
- Op basis van overeenkomsten in de bezorgtechnieken vermoedt Proofpoint dat GhostEcho eind 2021 ook werd geleverd aan vrouwenrechtenactivisten, maar de payload was niet beschikbaar ten tijde van Proofpoints analyse.
Lokmiddelen
- TA453 gebruikt één personage in het bijzonder, Samantha Wolf, voor social engineering, bedoeld om het gevoel van onveiligheid en angst van een doelwit te gebruiken om hen te laten reageren op e-mails van de hackers.
- Samantha heeft deze lokmiddelen, waaronder thema's als auto-ongelukken en algemene klachten, verzonden naar Amerikaanse en Europese politici en overheidsinstanties, een energiebedrijf in het Midden-Oosten en een Amerikaanse academicus.
Meer hierover is te lezen op de blog van Proofpoint: https://www.proofpoint.com/us/blog/threat-insight/ta453-refuses-be-bound-expectations
Toewijzing
Proofpoint is ervan overtuigd dat TA453 over het algemeen opereert ter ondersteuning van de IRGC, in het bijzonder de IRGC Intelligence Organization (IRGC-IO). Dit is gebaseerd op verschillende bewijzen, waaronder overeenkomsten in nummering tussen Charming Kitten rapporten en IRGC divisies zoals
geïdentificeerd door PWC, de aanklacht van het
Amerikaanse ministerie van Justitie tegen Monica Witt, en aan de IRGC gelieerde aanvallers, en een analyse van TA453's doelwitten vergeleken met gerapporteerde
prioriteiten van de IRGC-IO. Proofpoint gelooft dat de toename van aanvallen kan wijzen op samenwerking met een andere tak van de Iraanse staat, namelijk de IRGC Quds Force.
Het groeperen van cyberaanvallen is vaak moeilijk wanneer er met verschillende tools wordt gemeten. Proofpoint ziet TA453 momenteel overlappen met PHOSPHORUS, APT42 en Yellow Garuda, die allemaal als
Charming Kitten kunnen worden beschouwd.
Charming Kitten subgroepen
TA453 ontwikkelt zich voortdurend in termen van tools, tactieken, methoden en doelwitten. De door Proofpoint waargenomen aanvallen zullen waarschijnlijk doorgaan en vormen een afspiegeling van de eisen die de IRGC stelt aan het verzamelen van informatie, waaronder mogelijke steun voor vijandige en zelfs militaire operaties.