Az újságírók az APT-k kedvelt támadási célpontjává válnak

A célzott adathalász támadásokat több fenyegetés szereplőjének követik nyomon, akik egymástól függetlenül a hitelesítő adatok és érzékeny adatok ellopására, valamint az újságírók földrajzi elhelyezkedésének nyomon követésére összpontosítottak.

A Proofpoint csütörtöki jelentésében a kutatók felvázolják az előzetes tartós fenyegetés (APT) csoportok egyéni erőfeszítéseit, amelyek szerintük Kínával, Észak-Koreával, Iránnal és Törökországgal állnak összhangban. A kutatók szerint a támadások 2021 elején kezdődtek, és jelenleg is tartanak.

Szerint a jelentéshez, az APT-k egymástól függetlenül cselekszenek, de ugyanaz az általános cél, hogy az újságírókat célozzák meg. A taktikák is hasonlóak: a fenyegetések szereplői az e-maileket és a közösségi média fiókokat célozzák meg adathalász betörésként a kiberkémkedési kampányokban.

A fenyegetés szereplői, akik gyakran újságíróknak adják ki magukat, az adathalász kampányokra összpontosítottak, amelyek célja a hitelesítő adatok begyűjtése, az egyes rezsimek számára hasznos adatok ellopása és a politikai újságírók digitális megfigyelése.

APT Tradecraft: The Phish  

A támadások jellemzően valamilyen társadalmi manipulációt tartalmaztak, hogy csökkentsék a célpontok őrzését, hogy rávegyék őket arra, hogy töltsenek le és hajtsanak végre különféle rosszindulatú terheléseket személyes digitális eszközeikre. A csalik között szerepeltek a különféle közösségi média platformokon keresztül küldött e-mailek és üzenetek a politikai fókuszukhoz kapcsolódó témákban, mondták el a kutatók.

[INGYENES igény szerinti rendezvény: Csatlakozzon a Keeper Security Zane Bondjához egy Threatpost kerekasztalhoz, és tanulja meg, hogyan érheti el biztonságosan a gépeit bárhonnan, és hogyan oszthat meg bizalmas dokumentumokat otthoni irodájából. Nézze meg ITT.]

Különböző esetekben a támadók alacsonyan fekszenek, a rosszindulatú programfertőzést követően, hogy megmaradjanak a címzett hálózatán, és oldalsó hálózati felderítést végezzenek, és további rosszindulatú programfertőzéseket terjeszthessenek a célpont hálózatán.

A másodlagos taktika közé tartozott az újságírók nyomon követése vagy megfigyelése. A Proofpoint szerint az ellenfelek az újságírók eszközeire telepített webjelzőket használtak a megfigyeléshez.

Az újságírókat korábban is célba vették, de nem így

Míg a legfrissebb jelentés nyomon követi az újságírók elleni legutóbbi tevékenységeket, az egyének ezen csoportjának megcélzása semmiképpen sem újdonság, tekintettel arra, hogy az újságírók milyen információkhoz férhetnek hozzá politikai és társadalmi-gazdasági kérdésekben.

"Az APT szereplőinek állami hovatartozásuktól függetlenül megvan és valószínűleg mindig is lesz megbízatása arra, hogy megcélozzák az újságírókat és a médiaszervezeteket, és a kapcsolódó személyiségeket használják fel céljaik és gyűjtési prioritásaik előmozdítása érdekében" - írták a kutatók.

Sőt, az APT-k médiára való összpontosítása valószínűleg soha nem fog alábbhagyni, ami arra ösztönzi az újságírókat, hogy tegyenek meg mindent kommunikációjuk és érzékeny adataik biztonsága érdekében.

A Kína által támogatott APT-k sztrájkolnak az Egyesült Államokban

2021 januárja és februárja között a Proofpoint kutatói öt kampányt azonosítottak

Kínai APT TA412, más néven CirkóniumA kutatók szerint az Egyesült Államokban élő újságírókat célozták meg, elsősorban azokat, akik az Egyesült Államok politikájáról és nemzetbiztonságáról tudósítottak nemzetközi figyelmet keltő események során.

A kampányok kidolgozásának módja az Egyesült Államok jelenlegi politikai légkörétől függött, és a támadók célpontot váltottak attól függően, hogy mely újságírók foglalkoztak a kínai kormányt érdeklő témákkal.

Egy felderítő adathalász kampányra a január 6-i amerikai Capitol épülete elleni támadást közvetlenül megelőző napokban került sor, és ez idő alatt a támadók kifejezetten a Fehér Házban és a washingtoni székhelyű tudósítókra összpontosítottak.

A támadó a közelmúltban megjelent amerikai hírcikkek tárgysorait használta, amelyek releváns politikai témákkal kapcsolatosak voltak akkoriban, beleértve Donald Trump volt elnök fellépését, Kínával kapcsolatos amerikai politikai mozgalmakat, valamint újabban az Egyesült Államok álláspontját és részvételét Oroszország Ukrajna elleni háborújában. mondott.

Változó terhelhetőség

A megfigyelt kampányokban a cirkóniumot használta a hasznos terhelés webjelzőjeként, ez a taktika összhangban van a rosszindulatú kiberkémkampányok újságírókkal szemben, amelyeket az APT 2016 óta folytat – mondták a kutatók.

A webjelzők, amelyeket általában nyomkövető pixeleknek, nyomkövető jelzőfényeknek vagy webes hibáknak neveznek, egy hiperhivatkozással ellátott, nem látható objektumot ágyaznak be az e-mail törzsébe, amely engedélyezve egy jóindulatú képfájlt próbál lekérni egy szereplő által vezérelt szerverről.

„A Proofpoint kutatói úgy értékelik, hogy ezeknek a kampányoknak az volt a célja, hogy ellenőrizzék, hogy a célzott e-mailek aktívak-e, és hogy alapvető információkat szerezzenek a címzettek hálózati környezetéről” – írták.

A kutatók megfigyelték, hogy 459 áprilisának végén egy másik kínai támogatású APT, a TA2022 a délkelet-ázsiai média munkatársait célozta meg rosszindulatú Royal Road RTF-mellékletet tartalmazó e-mailekkel. áldozat gépe.

A megcélzott entitás volt felelős az orosz-ukrán konfliktusról szóló jelentésért, amely összhangban van a TA459 történelmi megbízatásával, miszerint Oroszországgal és Fehéroroszországgal kapcsolatos hírszerzési ügyekben gyűjtöget – jegyezték meg a kutatók.

Hamis álláslehetőségek Észak-Koreából

A kutatók megfigyelték az Észak-Koreához igazodó TA404-et is – ismertebb nevén Lázár– 2022 elején egy amerikai székhelyű médiaszervezetet céloztak meg adathalász támadásokkal, amelyek úgy tűnt, hogy jó hírű cégektől kínáltak álláslehetőségeket újságíróknak. A támadás emlékeztet a hasonló mérnökök ellen, akiket a csoport 2021-ben szerelt fel.

„A felderítő adathalászattal kezdődött, amely az egyes címzettekhez testreszabott URL-eket használt” – írták a kutatók a közelmúltbeli adathalász kampányról. „Az URL-ek egy álláshirdetést adtak ki, amelynek céloldalai úgy lettek kialakítva, mint egy márkás álláshirdetési webhely.”

A webhelyek azonban hamisak voltak, és az URL-eket úgy élesítették fel, hogy azonosítsák a számítógépre vagy az általa használt eszközre vonatkozó információkat, hogy lehetővé tegyék a gazdagép számára a célpont nyomon követését.

A Törökország által támogatott APT a Twitter hitelesítő adatait célozza meg

A török ​​kormánnyal állítólagosan kötődő APT-k újságírókat is célba vettek, és az egyik kampányban egy „termékeny fenyegetés szereplője” volt, a TA482, amelyet a Proofpoint figyelt meg. A kutatók szerint az APT 2022 eleje óta aktívan megcélozza az újságírókat Twitter-fiókokon keresztül, hogy ellopja a főként egyesült államokbeli újságírók és médiaszervezetek hitelesítő adatait.

Úgy tűnik, hogy a csoport mögött az áll, hogy propagandát terjesztenek Recep Tayyip Erdogan elnök, a török ​​kormányzó politikai párt, az Igazság és Fejlődés Pártja mellett, bár ezt nem lehet biztosan megerősíteni – jegyezték meg a kutatók.

A kampányok tipikusan a Twitter biztonságához kapcsolódó adathalász e-maileket használnak – figyelmeztetik a felhasználót a gyanús bejelentkezésre –, hogy felkeltsék a címzett figyelmét, és egy hitelesítő adatgyűjtő oldalra irányítsák őket, amely a Twitternek adja ki magát, ha egy linkre kattint.

Iráni APT-k betakarítási hitelesítő adatai

A Proofpoint szerint az Iránhoz köthető APT-k különösen aktívak voltak az újságírók és újságok elleni támadásaikban, jellemzően újságíróknak adták ki magukat a támadásokban, hogy részt vegyenek a célpontok elleni megfigyelésben, és megszerezzék a jogosítványaikat.

E támadások egyik legaktívabb elkövetője a TA453, az úgynevezett Bájos cicaEgy hírhedt csoport összhangban van az iráni Iszlám Forradalmi Gárda hírszerzési erőfeszítéseivel, mondta a Proofpoint.

Ez a csoport hírhedt arról, hogy újságíróknak álcázza magát a világ minden tájáról, hogy megcélozza újságírókat, akadémikusokat és kutatók ugyanúgy vitába bocsátkozva arról

külpolitikai vagy más Közel-Kelethez kapcsolódó témákban, majd egy személyre szabott, de jóindulatú PDF-en keresztül virtuális találkozókra hívják őket.

A PDF azonban – amelyet jellemzően fájltárhely-szolgáltatásból hoznak létre – szinte mindig tartalmaz egy hivatkozást egy URL-rövidítőre és egy IP-követőre, amely átirányítja a célpontokat a szereplők által vezérelt hitelesítő adatok begyűjtő tartományaira.

A TA456, más néven Tortoiseshell, egy másik Iránhoz kötődő fenyegetettség, amely rendszeresen médiaszervezetnek adja ki magát, hogy hírlevél témájú e-mailekkel célozza meg az újságírókat, amelyek webjelzőket tartalmaznak, amelyek nyomon követhetik a célpontokat.

Egy másik iráni államilag támogatott színész, a TA457 az „iNews Reporter” nevű hamis médiaszervezet személye mögé bújik, hogy rosszindulatú programokat szállítson a PR személyzetnek.

az Egyesült Államokban, Izraelben és Szaúd-Arábiában található cégek számára – mondták a kutatók. 2021 szeptembere és 2022 márciusa között a Proofpoint megfigyelte a termékeny fenyegetés szereplőjének kampányait, amelyek körülbelül két-három hetente fordultak elő.

Egy 2022 márciusában lezajlott kampányban a TA457 ironikus tárgysorral küldött egy e-mailt „Iran Cyber ​​War”, amely végül egy távoli hozzáférésű trójai programot dobott ki az áldozatok gépein. A kutatók beszámolói szerint a kampány egyéni és csoportos e-mail-címeket is megcélzott néhány, az energetikában, a médiában, a kormányzatban és a gyártásban érintett Proofpoint-ügyfélnél.

[INGYENES igény szerinti rendezvény: Csatlakozzon a Keeper Security Zane Bondjához egy Threatpost kerekasztalhoz, és tanulja meg, hogyan érheti el biztonságosan a gépeit bárhonnan, és hogyan oszthat meg bizalmas dokumentumokat otthoni irodájából. Nézze meg ITT.]