アナリストは、イスラエルの政府高官に悪意のある電子メールを送信しているイランにリンクされたAPTを発見しました。
イランと関係のある高度な持続的脅威グループは、著名な政府およびイスラエル軍の要員を標的としたフィッシングキャンペーンの背後にあると考えられています。 チェック・ポイント・ソフトウェアによるレポートへ.
キャンペーンの対象には、イスラエルの防衛産業における上級指導者、元駐イスラエル米国大使、元イスラエル副首相が含まれていました。
キャンペーンの目的は、ターゲットから個人情報を入手することだったと研究者たちは述べた。
正当なアドレスからの偽の電子メール
チェックポイントによると、標的のXNUMXつは、イスラエルの元外相、法務大臣、副首相であるTzipiLivniです。 研究者たちは、彼女の名簿にある連絡先のリストが充実しているために、ターゲットが選択されたと信じています。
研究者によると、少し前に彼女は「非常に敏感な立場で奉仕したIDFの有名な元少将」からメールを受け取った。 送信者のアドレスは偽装されていませんでした–それは彼女が以前に対応していたのと同じドメインでした。 ヘブライ語から翻訳されたメッセージは次のとおりです。
親愛なる友人の皆さん、こんにちは。今年の概要については、添付の記事をご覧ください。 ((*目のみ*)) もちろん、最終版ではないので配布したくありません。 どんなご意見をいただければ幸いです。 一日の素晴らしい休息をお過ごしください。
メッセージにはリンクが含まれていました。 Livniはリンクのクリックを遅らせ、いくつかのフォローアップメールを促しました。
おはようございます、私はあなたから連絡がありません。 何人かの友人が私にコメントを送ってくれました。 あなたの発言も私にとって非常に重要です。 私はあなたがとても忙しいことを知っています。 でも、時間をかけて記事を読んでいただきたいと思います。 良い週
チェックポイントによると、送信者の執拗さとメッセージの急増は彼女の疑いを引き起こしました。 Livniが元少将と会った後、電子メールは侵害されたアカウントから送信され、メッセージの内容はフィッシング攻撃の一部であることが明らかになりました。
これは、このキャンペーンの他のターゲットについても同様の話でした。疑わしい電子メールが正当な連絡先から送信されていたのです。
本当に起こったこと
攻撃の方法は特に技術的ではありませんでした。 「オペレーションの最も洗練された部分はソーシャルエンジニアリングです」と、CheckPointResearchの脅威インテリジェンスグループマネージャーであるSergeyShykevich氏は述べています。 同氏によると、このキャンペーンは「ターゲットごとに特別に作成された、非常にターゲットを絞ったフィッシングチェーン」でした。 個人的に作成されたフィッシングメールは、スピアフィッシングと呼ばれる手法です。
攻撃者は、最初に標的の連絡先に属する電子メールアドレスブックを侵害することにより、スピアフィッシング攻撃を開始しました。 次に、乗っ取られたアカウントを使用して、連絡先とターゲットの間に既存の電子メールチェーンを継続します。 やがて、彼らは、悪意のあるリンクやドキュメントをクリックしたり開いたりするようにターゲットを制限する方向に会話を誘導します。
「一部の電子メールには、ターゲットに関連する実際のドキュメントへのリンクが含まれています」と、チェック・ポイントのアナリストは述べています。 たとえば、「会議や調査への招待、Yahooのフィッシングページ、ドキュメントスキャンをアップロードするためのリンク」などです。
結局のところ、「目標」は「個人情報を盗み、パスポートのスキャンを行い、メールアカウントへのアクセスを盗むこと」でした。
誰となぜ
「少なくとも2021年XNUMX月から始まったという確かな証拠があります。しかし、それはもっと早く始まったと思います」とShykevichは書いています。
彼らの分析では、研究者たちは、イランにリンクされたリンAPTグループ(別名チャーミングキトン、Ajaxセキュリティ、NewsBeef、APT35)を指していると信じている証拠を発見しました。 リンはイランのXNUMXつです 最も アクティブ APTは、「注目を集めるサイバー操作を実施してきた長い歴史があり、イラン政権の利益に沿っており、イスラエル当局者を標的にしています」。
イランとイスラエルは通常対立しており、これらの攻撃は「イスラエルとイランの間の緊張が高まる中で起こった。 最近のイラン当局者の暗殺(一部はイスラエルのモサドに所属)と、世界中のイスラエル市民を誘拐する試みの阻止により、Phosphorousは今後も継続的な努力を続けると思われます。」