Dal 2021, vari gruppi di minacce allineati allo stato hanno preso di mira i giornalisti per sottrarre dati e credenziali e anche rintracciarli.
Gli attacchi di phishing mirati vengono ricondotti a più attori delle minacce che si sono concentrati ciascuno in modo indipendente sul furto di credenziali e dati sensibili e sul monitoraggio della geolocalizzazione dei giornalisti.
In un rapporto di giovedì di Proofpoint, i ricercatori delineano gli sforzi individuali dei gruppi di minacce persistenti avanzate (APT) che secondo loro sono allineati con Cina, Corea del Nord, Iran e Turchia. Gli attacchi sono iniziati all'inizio del 2021 e sono in corso, hanno affermato i ricercatori.
Secondo al rapporto, gli APT agiscono indipendentemente l'uno dall'altro ma condividono lo stesso obiettivo generale di prendere di mira i giornalisti. Anche le tattiche sono simili, con gli attori delle minacce che prendono di mira account di posta elettronica e social media come attacchi di phishing nelle campagne di spionaggio informatico.
Spesso fingendosi giornalisti stessi, gli attori della minaccia si sono concentrati su campagne di phishing con l'obiettivo di raccolta di credenziali, furto di dati utili a regimi specifici e sorveglianza digitale dei giornalisti politici.
APT Tradecraft: Il Phish
Gli attacchi in genere prevedevano un qualche tipo di ingegneria sociale per abbassare la guardia degli obiettivi al fine di convincerli a scaricare ed eseguire vari payload dannosi sui loro dispositivi digitali personali, hanno affermato i ricercatori. Le esche includevano e-mail e messaggi inviati tramite varie piattaforme di social media su argomenti relativi alla loro area di interesse politico, hanno affermato i ricercatori.
[Evento su richiesta GRATUITO: Unisciti a Zane Bond di Keeper Security a una tavola rotonda di Threatpost e scopri come accedere in modo sicuro alle tue macchine da qualsiasi luogo e condividere documenti sensibili dal tuo ufficio di casa. GUARDA QUI.]
In vari casi gli aggressori rimarrebbero bassi, dopo l'infezione da malware, al fine di ottenere persistenza sulla rete di un destinatario e condurre una ricognizione laterale della rete e propagare ulteriori infezioni da malware all'interno della rete del bersaglio.
Le tattiche secondarie includevano il monitoraggio o la sorveglianza dei giornalisti. Proofpoint ha affermato che gli avversari hanno utilizzato i web beacon installati sui dispositivi dei giornalisti per effettuare la sorveglianza.
I giornalisti sono stati presi di mira prima, ma non così
Mentre l'ultimo rapporto tiene traccia di alcune delle attività più recenti contro i giornalisti, prendere di mira questo gruppo di individui non è certamente una novità, dato il tipo di informazioni a cui i giornalisti hanno accesso quando si tratta di questioni politiche e socioeconomiche, hanno osservato.
"Gli attori dell'APT, indipendentemente dalla loro affiliazione statale, hanno e probabilmente avranno sempre il mandato di prendere di mira giornalisti e organizzazioni dei media e utilizzeranno i personaggi associati per promuovere i loro obiettivi e le priorità di raccolta", hanno scritto i ricercatori.
Inoltre, è improbabile che questa attenzione ai media da parte degli APT diminuisca, il che dovrebbe ispirare i giornalisti a fare tutto il possibile per proteggere le loro comunicazioni e dati sensibili, hanno affermato.
Sciopero degli APT sostenuti dalla Cina negli Stati Uniti
Tra gennaio e febbraio 2021, i ricercatori di Proofpoint hanno identificato cinque campagne di
cinese APT TA412, noto anche come Zirconio, prendendo di mira i giornalisti con sede negli Stati Uniti, in particolare quelli che si occupano di politica e sicurezza nazionale degli Stati Uniti durante eventi che hanno attirato l'attenzione internazionale, hanno affermato i ricercatori.
Il modo in cui le campagne sono state realizzate dipendeva dall'attuale clima politico degli Stati Uniti e gli aggressori hanno cambiato obiettivo a seconda dei giornalisti che trattavano argomenti in cui il governo cinese è interessato, hanno affermato.
Una campagna di phishing di ricognizione si è verificata nei giorni immediatamente precedenti l'attacco del 6 gennaio all'edificio del Campidoglio degli Stati Uniti, con gli aggressori che si sono concentrati specificamente sui corrispondenti della Casa Bianca e di Washington durante questo periodo, hanno affermato.
L'attaccante ha utilizzato argomenti tratti da recenti articoli di notizie statunitensi relativi ad argomenti politici pertinenti dell'epoca, comprese le azioni dell'ex presidente Donald Trump, i movimenti politici statunitensi legati alla Cina e, più recentemente, la posizione e il coinvolgimento degli Stati Uniti nella guerra della Russia contro l'Ucraina, ricercatori disse.
Carico utile variabile
Nelle campagne osservate, Zirconium ha utilizzato come suo payload web beacon, una tattica coerente con il malevolo campagne di cyberspionaggio contro i giornalisti che l'APT conduce dal 2016, hanno affermato i ricercatori.
I web beacon, comunemente indicati come tracking pixel, tracking beacon o web bug, incorporano un oggetto non visibile con collegamento ipertestuale all'interno del corpo di un'e-mail che, quando abilitati, tenta di recuperare un file immagine benigno da un server controllato dall'attore.
"I ricercatori di Proofpoint valutano che queste campagne hanno lo scopo di convalidare l'attivazione di e-mail mirate e di ottenere informazioni fondamentali sugli ambienti di rete dei destinatari", hanno scritto.
I ricercatori hanno osservato un altro APT sostenuto dalla Cina, TA459, alla fine di aprile 2022, preso di mira il personale dei media nel sud-est asiatico con e-mail contenenti un allegato RTF dannoso di Royal Road, se aperto, installerebbe ed eseguirebbe malware Chinoxy, una backdoor utilizzata per ottenere persistenza su un macchina della vittima.
L'entità presa di mira era responsabile della segnalazione del conflitto Russia-Ucraina, che è in linea con il mandato storico di TA459 di raccogliere informazioni su questioni di intelligence relative a Russia e Bielorussia, hanno osservato i ricercatori.
False opportunità di lavoro dalla Corea del Nord
I ricercatori hanno anche osservato TA404 allineato alla Corea del Nord, meglio noto come Lazarus–all'inizio del 2022 prendendo di mira un'organizzazione di media con sede negli Stati Uniti con attacchi di phishing che sembravano offrire opportunità di lavoro da aziende rispettabili ai giornalisti, hanno riferito. L'attacco ricorda un simile contro gli ingegneri che il gruppo ha montato nel 2021.
"È iniziato con il phishing di ricognizione che utilizzava URL personalizzati per ciascun destinatario", hanno scritto i ricercatori della recente campagna di phishing. "Gli URL hanno impersonato un annuncio di lavoro con pagine di destinazione progettate per assomigliare a un sito di annuncio di lavoro con marchio".
Tuttavia, i siti erano fraudolenti e gli URL erano armati per trasmettere informazioni identificative sul computer o sul dispositivo su cui qualcuno stava lavorando per consentire all'host di tenere traccia dell'obiettivo previsto, hanno affermato i ricercatori.
APT, sostenuto dalla Turchia, prende di mira le credenziali di Twitter
Anche gli APT con presunti legami con il governo turco hanno preso di mira i giornalisti, con una campagna che includeva un "prolifico attore di minacce" TA482 osservato da Proofpoint. Secondo i ricercatori, l'APT ha preso di mira attivamente i giornalisti dall'inizio del 2022, tramite account Twitter, nel tentativo di rubare credenziali principalmente a giornalisti e organizzazioni dei media con sede negli Stati Uniti.
Il motivo alla base del gruppo sembra essere quello di diffondere propaganda a sostegno del presidente Recep Tayyip Erdogan, il partito politico al governo turco, Partito per la giustizia e lo sviluppo, sebbene ciò non possa essere confermato con certezza, hanno osservato i ricercatori.
Le campagne utilizzano e-mail di phishing tipicamente correlate alla sicurezza di Twitter, avvisando un utente di un accesso sospetto, per attirare l'attenzione del destinatario, portandolo a una pagina di raccolta delle credenziali che impersona Twitter se fa clic su un collegamento.
Credenziali di raccolta degli APT iraniani
Gli APT legati all'Iran sono stati particolarmente attivi nel loro assalto contro giornalisti e giornali, in genere fingendosi giornalisti stessi in attacchi per impegnarsi nella sorveglianza contro obiettivi e raccogliere le loro credenziali, ha scoperto Proofpoint.
Uno degli autori più attivi di questi attacchi è TA453, noto come Gattino affascinante, un famigerato gruppo in linea con gli sforzi di raccolta di informazioni del Corpo delle Guardie Rivoluzionarie Islamiche dell'Iran, ha affermato Proofpoint.
Questo gruppo è noto per mascherarsi da giornalisti di tutto il mondo per prendere di mira giornalisti, accademici e ricercatori allo stesso modo impegnandosi in una discussione su
politica estera o altri argomenti relativi al Medio Oriente, dopodiché saranno invitati a riunioni virtuali tramite un PDF personalizzato, ma benigno.
Tuttavia, il PDF, generalmente fornito dai servizi di file hosting, contiene quasi sempre un collegamento a un accorciatore di URL e a un tracker IP che reindirizza gli obiettivi a domini di raccolta delle credenziali controllati dall'attore, hanno affermato i ricercatori.
TA456, noto anche come Tortoiseshell, è un altro attore di minacce allineato all'Iran che si atteggia regolarmente a organizzazioni dei media per prendere di mira i giornalisti con e-mail a tema newsletter contenenti web beacon in grado di tracciare gli obiettivi.
Un altro attore iraniano sponsorizzato dallo stato, TA457, si nasconde dietro la persona di una falsa organizzazione di media chiamata "iNews Reporter" per fornire malware al personale delle pubbliche relazioni
per aziende con sede negli Stati Uniti, Israele e Arabia Saudita, hanno affermato i ricercatori. Tra settembre 2021 e marzo 2022, Proofpoint ha osservato le campagne del prolifico attore di minacce che si verificavano all'incirca ogni due o tre settimane, hanno affermato.
In una campagna avvenuta nel marzo 2022, TA457 ha inviato un'e-mail con l'oggetto ironico "Iran Cyber War" che alla fine ha rilasciato un trojan di accesso remoto sui computer delle vittime. Secondo i ricercatori, la campagna ha preso di mira indirizzi e-mail sia individuali che di gruppo presso una manciata di clienti Proofpoint coinvolti nei settori dell'energia, dei media, del governo e della produzione.
[Evento su richiesta GRATUITO: Unisciti a Zane Bond di Keeper Security a una tavola rotonda di Threatpost e scopri come accedere in modo sicuro alle tue macchine da qualsiasi luogo e condividere documenti sensibili dal tuo ufficio di casa. GUARDA QUI.]
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Enti Pubblici
- hack
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- Messaggio di minaccia
- VPN
- sicurezza del sito Web
- zefiro
