Ajakirjanikud tõusevad APT-de eelistatud rünnaku sihtmärgiks

Sihitud andmepüügirünnakud on jälitatud mitmele ohus osalejale, kes on igaüks iseseisvalt keskendunud mandaatide ja tundlike andmete varastamisele ning ajakirjanike geograafilise asukoha jälgimisele.

Proofpointi neljapäevases aruandes kirjeldavad teadlased individuaalseid jõupingutusi püsivate ohtude (APT) rühmade poolt, kes on nende sõnul kooskõlas Hiina, Põhja-Korea, Iraani ja Türgiga. Teadlaste sõnul algasid rünnakud 2021. aasta alguses ja need jätkuvad.

Vastavalt aruandele, tegutsevad APT-d üksteisest sõltumatult, kuid jagavad sama üldist eesmärki ajakirjanike sihtimiseks. Taktika on samuti sarnane, ohustajad sihivad e-posti ja sotsiaalmeedia kontosid küberspionaažikampaaniate andmepüügina.

Esinedes sageli ise ajakirjanikena, on ohus osalejad keskendunud andmepüügikampaaniatele, mille eesmärk on volituste kogumine, konkreetsetele režiimidele kasulike andmete vargus ja poliitikaajakirjanike digitaalne jälgimine.

APT Tradecraft: Phish  

Teadlaste sõnul hõlmasid rünnakud tavaliselt teatud tüüpi sotsiaalset manipuleerimist, et vähendada sihtmärkide valvet, et meelitada neid alla laadima ja käivitama mitmesuguseid pahatahtlikke kasulikke koormusi oma isiklikele digitaalsetele seadmetele. Teadlaste sõnul hõlmasid meelitused erinevate sotsiaalmeedia platvormide kaudu saadetud e-kirju ja sõnumeid teemadel, mis olid seotud nende poliitilise fookusega.

[Soovi korral TASUTA üritus: liituge Keeper Security Zane Bondiga Threatposti ümarlaual ja õppige, kuidas pääseda kõikjalt turvaliselt juurde oma masinatele ja jagada tundlikke dokumente oma kodukontorist. VAATA SIIN.]

Erinevatel juhtudel langevad ründajad pärast pahavara nakatumist madalale, et saavutada adressaadi võrgus püsivust ja teostada külgmist võrguluuret ning levitada täiendavaid pahavaranakkusi sihtmärgi võrgus.

Teisene taktika hõlmas ajakirjanike jälitamist või jälgimist. Proofpoint ütles, et vastased kasutasid jälgimiseks ajakirjanike seadmetele paigaldatud veebimajakaid.

Ajakirjanikke on varemgi sihikule võetud, kuid mitte niimoodi

Kuigi viimane aruanne jälgib mõnda viimast ajakirjanike vastu suunatud tegevust, ei ole selle inimeste grupi sihtimine kindlasti uudne, arvestades seda, millisele teabele on ajakirjanikel juurdepääs poliitiliste ja sotsiaalmajanduslike küsimuste puhul, märkisid nad.

"APT osalejatel, olenemata nende osariigist, on ja on tõenäoliselt alati volitused sihtida ajakirjanikke ja meediaorganisatsioone ning nad kasutavad seotud isikuid oma eesmärkide ja kogumisprioriteetide edendamiseks," kirjutasid teadlased.

Veelgi enam, APT-de keskendumine meediale ei vähene tõenäoliselt kunagi, mis peaks inspireerima ajakirjanikke tegema kõik endast oleneva, et oma suhtlust ja tundlikke andmeid kaitsta.

Hiina toetatud APT-d streigivad USA-s

2021. aasta jaanuarist veebruarini tuvastasid Proofpointi teadlased viis kampaaniat

Hiina APT TA412, tuntud ka kui TsirkooniumTeadlaste sõnul on sihitud USA-s asuvatele ajakirjanikele, eelkõige neile, kes kajastavad USA poliitikat ja riiklikku julgeolekut rahvusvahelist tähelepanu pälvinud sündmuste ajal.

Kampaaniate koostamise viis sõltus USA praegusest poliitilisest kliimast ja ründajad vahetasid sihtmärke olenevalt sellest, millised ajakirjanikud kajastasid teemasid, mis Hiina valitsusele huvi pakuvad.

Üks luureandmepüügikampaania toimus vahetult enne 6. jaanuari rünnakut USA Kapitooliumi hoonele, kusjuures ründajad keskendusid sel ajal konkreetselt Valges Majas ja Washingtonis asuvatele korrespondentidele.

Ründaja kasutas teemaridasid, mis olid võetud hiljutistest USA uudisteartiklitest, mis puudutasid sel ajal olulisi poliitilisi teemasid, sealhulgas endise presidendi Donald Trumpi tegevust, Hiinaga seotud USA poliitilisi liikumisi ning viimasel ajal ka USA seisukohta ja seotust Venemaa sõjas Ukraina vastu. ütles.

Erinevad kandevõimed

Vaadeldud kampaaniates kasutas tsirkoonium oma kasuliku koormuse veebimajakatena – taktikat, mis on kooskõlas pahatahtliku küberspionaaži kampaaniad ajakirjanike vastu, mida APT on alates 2016. aastast korraldanud, ütlesid teadlased.

Veebimajakad, mida tavaliselt nimetatakse jälgimispiksliteks, jälgimismajakateks või veebivigadeks, manustavad e-kirja kehasse hüperlingitud mittenähtava objekti, mis lubamisel üritab hankida healoomulist pildifaili näitleja juhitavast serverist.

"Proofpoint-uurijad hindavad, et need kampaaniad on mõeldud selleks, et kinnitada sihitud meilide aktiivsust ja saada adressaatide võrgukeskkondade kohta põhiteavet," kirjutasid nad.

Teadlased täheldasid 459. aasta aprilli lõpus teist Hiina toetatud APT-d, TA2022, mis oli suunatud Kagu-Aasia meediatöötajatele e-kirjadega, mis sisaldasid pahatahtlikku Royal Road RTF-i manust, kui see avatakse, installib ja käivitab Chinoxy pahavara – tagaukse, mida kasutatakse järjekindluse saavutamiseks. ohvri masin.

Uurijad märkisid, et sihtüksus vastutas Venemaa-Ukraina konflikti aruandluse eest, mis on kooskõlas TA459 ajaloolise mandaadiga koguda Venemaa ja Valgevenega seotud luureandmeid.

Võltstöövõimalused Põhja-Koreast

Teadlased jälgisid ka Põhja-Koreaga joondatud TA404 - paremini tuntud kui Lazarus– 2022. aasta alguses sihtides andmepüügirünnakutega USA-s asuvat meediaorganisatsiooni, mis näis pakkuvat ajakirjanikele töövõimalusi mainekatest ettevõtetest, teatasid nad. Rünnak meenutab a sarnane inseneride vastu, kelle rühm 2021. aastal paigaldas.

"See algas luureandmepüügiga, mis kasutas iga adressaadi jaoks kohandatud URL-e," kirjutasid teadlased hiljutise andmepüügikampaania kohta. „URL-id kehastasid töökuulutust, mille sihtlehed olid kavandatud välja nägema nagu kaubamärgiga töökuulutuste sait.”

Need saidid olid siiski petturlikud ja URL-id olid varustatud arvuti või seadme identifitseerimise teabe edastamiseks, millega keegi töötas, et võimaldada hostil kavandatud sihtmärgil silma peal hoida, ütlesid teadlased.

Türgi toetatud APT sihib Twitteri mandaati

APT-d, kellel on väidetavalt sidemed Türgi valitsusega, on võtnud sihikule ka ajakirjanikud, kusjuures ühes kampaanias oli üks "viljakas ohutegija" TA482, mida Proofpoint on jälginud. Teadlaste sõnul on APT aktiivselt sihikule võtnud ajakirjanikke alates 2022. aasta algusest Twitteri kontode kaudu, püüdes varastada peamiselt USA-s asuvatelt ajakirjanikelt ja meediaorganisatsioonidelt mandaate.

Rühmituse motiiv näib olevat propaganda levitamine Türgi valitseva erakonna Õigluse ja Arengu partei president Recep Tayyip Erdogani toetuseks, kuigi seda ei saa kindlalt kinnitada, märkisid teadlased.

Kampaaniad kasutavad andmepüügimeile, mis on tavaliselt seotud Twitteri turvalisusega – hoiatades kasutajat kahtlasest sisselogimisest –, et võita adressaadi tähelepanu, suunates ta mandaadi kogumise lehele, mis kehastab Twitterit, kui nad lingil klõpsavad.

Iraani APT-de saagikoristustunnistus

Proofpoint on leidnud, et Iraaniga seotud APT-d on olnud eriti aktiivsed rünnakutes ajakirjanike ja ajalehtede vastu, tavaliselt esinedes end ajakirjanikena rünnakutes, et osaleda sihtmärkide jälgimisel ja nende volituste kogumisel.

Üks nende rünnakute aktiivsemaid toimepanijaid on TA453, tuntud kui Võluv kassipoegon kurikuulus rühmitus Proofpoint ütles, et see on kooskõlas Iraani Islami revolutsioonilise kaardiväe luureandmete kogumisega.

See rühm on kurikuulus selle poolest, et maskeerub ajakirjanikeks kogu maailmast, et sihtida ajakirjanikke, akadeemikuid ja Teadlased samamoodi, osaledes arutelus teemal

välispoliitika või muudel Lähis-Idaga seotud teemadel, misjärel kutsutakse neid kohandatud, kuid healoomulise PDF-i kaudu virtuaalsele kohtumisele.

Kuid PDF-fail, mis tavaliselt tarnitakse failimajutusteenustest, sisaldab peaaegu alati linki URL-i lühendajale ja IP-jälgijale, mis suunab sihtmärgid ümber näitleja kontrollitavatele mandaadi kogumise domeenidele, ütlesid teadlased.

TA456, tuntud ka kui Tortoiseshell, on veel üks Iraaniga seotud ohutegureid, kes esinevad regulaarselt meediaorganisatsioonidena, et sihtida ajakirjanikke uudiskirjateemaliste e-kirjadega, mis sisaldavad sihtmärke jälgivaid veebimajakaid.

Teine Iraani riiklikult toetatud näitleja, TA457, peidab end võltsmeediaorganisatsiooni nimega "iNews Reporter", et toimetada suhtekorraldajatele pahavara.

Ameerika Ühendriikides, Iisraelis ja Saudi Araabias asuvate ettevõtete jaoks, ütlesid teadlased. Ajavahemikus 2021. aasta septembrist kuni 2022. aasta märtsini jälgis Proofpoint viljaka ohunäitleja kampaaniaid, mis toimusid umbes iga kahe kuni kolme nädala järel.

Ühes 2022. aasta märtsis toimunud kampaanias saatis TA457 meili iroonilise teemareaga "Iraani kübersõda", mis lõpuks viskas ohvrite masinatele kaugjuurdepääsu troojalase. Teadlased teatasid, et kampaania oli suunatud nii üksikutele kui ka rühmade e-posti aadressidele käputäiele Proofpointi klientidele, kes on seotud energeetika, meedia, valitsuse ja tootmisega.

[Soovi korral TASUTA üritus: liituge Keeper Security Zane Bondiga Threatposti ümarlaual ja õppige, kuidas pääseda kõikjalt turvaliselt juurde oma masinatele ja jagada tundlikke dokumente oma kodukontorist. VAATA SIIN.]