Siden 2021 har forskellige statslige trusselsgrupper skruet op for deres målretning mod journalister for at hente data og legitimationsoplysninger og også spore dem.
Målrettede phishing-angreb spores til flere trusselsaktører, som hver især har fokuseret på at stjæle legitimationsoplysninger og følsomme data og spore journalisters geolokalisering.
I en torsdagsrapport fra Proofpoint skitserer forskere individuelle indsatser fra forhåndsvedvarende trussel (APT) grupper, som de siger er på linje med Kina, Nordkorea, Iran og Tyrkiet. Angreb begyndte i begyndelsen af 2021 og er i gang, sagde forskere.
Ifølge til rapporten, APT'erne handler uafhængigt af hinanden, men deler det samme overordnede mål om at målrette journalister. Taktikken ligner også, hvor trusselsaktører målretter mod e-mail og konti på sociale medier som phishing-indhug i cyberspionagekampagner.
Trusselsaktørerne har ofte selv udgivet sig som journalister, og de har fokuseret på phishing-kampagner med det formål at indsamle legitimationsoplysninger, tyveri af data, der er nyttige for specifikke regimer og digital overvågning af politiske journalister.
APT Tradecraft: Phishen
Angrebene involverede typisk en eller anden form for social manipulation for at sænke vagten af mål for at lokke dem til at downloade og udføre forskellige ondsindede nyttelaster på deres personlige digitale enheder, sagde forskere. Lures inkluderede e-mails og beskeder sendt via forskellige sociale medieplatforme om emner relateret til deres politiske fokusområde, sagde forskere.
[GRATIS on-demand begivenhed: Slut dig til Keeper Securitys Zane Bond i et Threatpost-rundbordsbord og lær, hvordan du sikkert får adgang til dine maskiner fra hvor som helst og deler følsomme dokumenter fra dit hjemmekontor. SE HER.]
I forskellige tilfælde ville angriberne ligge lavt, efter malware-infektion, for at opnå vedholdenhed på en modtagers netværk og udføre lateral netværksrekognoscering og udbrede yderligere malware-infektioner i målets netværk.
Sekundære taktikker omfattede sporing eller overvågning af journalister. Proofpoint sagde, at modstandere brugte web-beacons plantet på journalisters enheder til at udføre overvågningen.
Journalist har været målrettet før, men ikke sådan her
Mens den seneste rapport sporer nogle af de seneste aktiviteter mod journalister, er målrettet mod denne gruppe af individer bestemt ikke ny, givet den type information, som journalister har adgang til, når det kommer til politiske og socioøkonomiske spørgsmål, bemærkede de.
"APT-aktører, uanset deres statslige tilhørsforhold, har og vil sandsynligvis altid have et mandat til at målrette journalister og medieorganisationer og vil bruge tilknyttede personer til at fremme deres mål og indsamlingsprioriteter," skrev forskere.
Desuden er det usandsynligt, at dette fokus på medier fra APT'er nogensinde vil aftage, hvilket burde inspirere journalister til at gøre alt, hvad de kan for at sikre deres kommunikation og følsomme data, sagde de.
Kina-støttede APT'er strejker i USA
Mellem januar og februar 2021 identificerede Proofpoint-forskere fem kampagner af
Kinesisk APT TA412, også kendt som Zirconium, rettet mod USA-baserede journalister, især dem, der dækker amerikansk politik og national sikkerhed under begivenheder, der fik international opmærksomhed, sagde forskere.
Den måde, kampagnerne blev udformet på, afhang af det aktuelle amerikanske politiske klima, og angriberne skiftede mål afhængigt af, hvilke journalister der dækkede emner, som den kinesiske regering har interesse i, sagde de.
En rekognoscerings-phishing-kampagne fandt sted i dagene umiddelbart forud for angrebet den 6. januar på den amerikanske Capitol-bygning, hvor angriberne fokuserede specifikt på Det Hvide Hus og Washington-baserede korrespondenter i denne periode, sagde de.
Angriberen brugte emnelinjer hentet fra seneste amerikanske nyhedsartikler relateret til relevante politiske emner på det tidspunkt, herunder handlinger fra tidligere præsident Donald Trump, amerikanske politiske bevægelser relateret til Kina og for nylig USA's holdning og involvering i Ruslands krig mod Ukraine, siger forskere sagde.
Varierende nyttelast
I de observerede kampagner brugte zirconium som sin nyttelast web beacons, en taktik i overensstemmelse med ondsindet cyberspionage kampagner mod journalister, som APT har udført siden 2016, sagde forskere.
Web-beacons, almindeligvis omtalt som tracking-pixels, tracking-beacons eller web-bugs, indlejrer et hyperlinket ikke-synligt objekt i brødteksten af en e-mail, der, når det er aktiveret, forsøger at hente en godartet billedfil fra en aktørstyret server.
"Proofpoint-forskere vurderer, at disse kampagner har været beregnet til at validere målrettede e-mails er aktive og for at få grundlæggende information om modtagernes netværksmiljøer," skrev de.
Forskere observerede en anden kinesisk-støttet APT, TA459, i slutningen af april 2022 målrettet mediepersonale i Sydøstasien med e-mails indeholdende en ondsindet Royal Road RTF-vedhæftning, hvis den blev åbnet, ville installere og udføre Chinoxy-malware – en bagdør, der bruges til at få vedholdenhed på en ofrets maskine.
Den målrettede enhed var ansvarlig for at rapportere om Rusland-Ukraine-konflikten, som stemmer overens med TA459s historiske mandat om at indsamle efterretningsspørgsmål relateret til Rusland og Hviderusland, bemærkede forskere.
Falske jobmuligheder fra Nordkorea
Forskere observerede også Nordkorea-tilpasset TA404 - bedre kendt som Lazarus– i begyndelsen af 2022 målrettet en amerikansk-baseret medieorganisation med phishing-angreb, der så ud til at tilbyde jobmuligheder fra velrenommerede virksomheder til journalister, rapporterede de. Angrebet minder om en en lignende mod ingeniører, som gruppen etablerede i 2021.
"Det startede med rekognoscerings-phishing, der brugte URL'er tilpasset til hver enkelt modtager," skrev forskere om den nylige phishing-kampagne. "Webadresserne efterlignede et jobopslag med landingssider designet til at ligne et brandet jobopslagswebsted."
Webstederne var imidlertid svigagtige, og URL'erne var bevæbnet til at videresende identificerende oplysninger om computeren eller den enhed, nogen arbejdede fra, for at give værten mulighed for at holde styr på det tilsigtede mål, sagde forskere.
Tyrkiet-støttede APT Targets Twitter-legitimationsoplysninger
APT'er med påståede bånd til Tyrkiets regering har også målrettet journalister, med en kampagne, der inkluderer en "produktiv trusselsaktør" TA482 observeret af Proofpoint. Ifølge forskere har APT aktivt målrettet journalister siden begyndelsen af 2022 via Twitter-konti i bestræbelserne på at stjæle legitimationsoplysninger fra primært USA-baserede journalister og medieorganisationer.
Motivet bag gruppen ser ud til at være at sprede propaganda til støtte for præsident Recep Tayyip Erdogan, det tyrkiske regerende politiske parti, Justice and Development Party, selvom dette ikke kan bekræftes med sikkerhed, bemærkede forskere.
Kampagnerne bruger phishing-e-mails, der typisk er relateret til Twitter-sikkerhed – der advarer en bruger om et mistænkeligt login – for at få modtagerens opmærksomhed og føre dem til en legitimationsindsamlingsside, der efterligner Twitter, hvis de klikker på et link.
Iranske APT'er Harvest Credentials
Iran-tilknyttede APT'er har været særligt aktive i deres angreb mod journalister og aviser, og har typisk udgivet sig som journalister selv i angreb for at deltage i overvågning mod mål og høste deres akkreditiver, har Proofpoint fundet.
En af de mest aktive gerningsmænd til disse angreb er TA453, kendt som Charmerende killing, en berygtet gruppe på linje med efterretningsindsamlingen af Irans Islamiske Revolutionsgarde Corp, sagde Proofpoint.
Denne gruppe er berygtet for at udgive sig for at være journalister fra hele verden for at målrette journalister, akademikere og forskere ens ved at engagere sig i diskussion om
udenrigspolitik eller andre emner relateret til Mellemøsten, hvorefter de vil blive inviteret til et virtuelt møde via en tilpasset, men godartet PDF.
Men PDF'en - typisk leveret fra filhostingtjenester - indeholder næsten altid et link til en URL-forkorter og IP-tracker, der omdirigerer mål til aktørkontrollerede domæner til indsamling af legitimationsoplysninger, sagde forskere.
TA456, også kendt som Tortoiseshell, er en anden Iran-tilpasset trusselsaktør, der rutinemæssigt optræder som medieorganisationer for at målrette journalister med nyhedsbrev-tema-e-mails, der indeholder web-beacons, der kan spore mål.
En anden iransk statssponsoreret skuespiller, TA457, gemmer sig bag personaen af en falsk medieorganisation kaldet "iNews Reporter" for at levere malware til PR-personale
for virksomheder beliggende i USA, Israel og Saudi-Arabien, sagde forskere. Mellem september 2021 og marts 2022 observerede Proofpoint kampagner fra den produktive trusselsaktør, der fandt sted cirka hver anden til tredje uge, sagde de.
I en kampagne, der fandt sted i marts 2022, sendte TA457 en e-mail med den ironiske emnelinje "Iran Cyber War", der i sidste ende kastede en fjernadgangstrojan på ofrenes maskiner. Kampagnen blev set målrettet mod både individuelle og gruppe-e-mail-adresser til en håndfuld Proofpoint-kunder involveret i energi, medier, regering og produktion, rapporterede forskere.
[GRATIS on-demand begivenhed: Slut dig til Keeper Securitys Zane Bond i et Threatpost-rundbordsbord og lær, hvordan du sikkert får adgang til dine maskiner fra hvor som helst og deler følsomme dokumenter fra dit hjemmekontor. SE HER.]
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- Regering
- hacks
- Kaspersky
- malware
- Mcafee
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- Threat Post
- VPN
- website sikkerhed
- zephyrnet
