Jornalistas emergem como alvo de ataque preferido para APTs

Os ataques de phishing direcionados são atribuídos a vários atores de ameaças, cada um focado independentemente no roubo de credenciais e dados confidenciais e no rastreamento da geolocalização de jornalistas.

Num relatório de quinta-feira da Proofpoint, os investigadores descrevem os esforços individuais de grupos avançados de ameaças persistentes (APT) que dizem estar alinhados com a China, a Coreia do Norte, o Irão e a Turquia. Os ataques começaram no início de 2021 e continuam, disseram os pesquisadores.

Segundo ao relatório, as APT agem de forma independente umas das outras, mas partilham o mesmo objetivo geral de atingir os jornalistas. As táticas também são semelhantes, com os agentes de ameaças visando contas de e-mail e redes sociais como ataques de phishing em campanhas de ciberespionagem.

Muitas vezes fazendo-se passar por jornalistas, os actores da ameaça concentraram-se em campanhas de phishing com o objectivo de recolha de credenciais, roubo de dados úteis para regimes específicos e vigilância digital de jornalistas políticos.

APT Tradecraft: O Phish  

Os ataques normalmente envolviam algum tipo de engenharia social para baixar a guarda dos alvos, a fim de persuadi-los a baixar e executar várias cargas maliciosas em seus dispositivos digitais pessoais, disseram os pesquisadores. As iscas incluíam e-mails e mensagens enviadas por meio de diversas plataformas de mídia social sobre temas relacionados à sua área de enfoque político, disseram os pesquisadores.

[Evento sob demanda GRATUITO: Junte-se ao Zane Bond da Keeper Security em uma mesa redonda Threatpost e aprenda como acessar com segurança suas máquinas de qualquer lugar e compartilhar documentos confidenciais de seu escritório em casa. ASSISTA AQUI.]

Em vários casos, os invasores permaneceriam discretos, após infecção por malware, a fim de ganhar persistência na rede de um destinatário e realizar reconhecimento lateral da rede e propagar infecções de malware adicionais dentro da rede do alvo.

As táticas secundárias incluíam rastrear ou vigiar jornalistas. A Proofpoint disse que os adversários usaram web beacons plantados nos dispositivos dos jornalistas para realizar a vigilância.

Jornalistas já foram alvos antes, mas não assim

Embora o último relatório rastreie algumas das atividades mais recentes contra jornalistas, visar este grupo de indivíduos certamente não é novidade, dado o tipo de informação a que os jornalistas têm acesso quando se trata de questões políticas e socioeconómicas, observaram.

“Os intervenientes da APT, independentemente da sua filiação estatal, têm e provavelmente sempre terão um mandato para atingir jornalistas e organizações de comunicação social e usarão personas associadas para promover os seus objectivos e prioridades de recolha”, escreveram os investigadores.

Além disso, é pouco provável que este foco nos meios de comunicação social por parte das APT diminua, o que deverá inspirar os jornalistas a fazer tudo o que puderem para proteger as suas comunicações e dados sensíveis, disseram.

APTs apoiados pela China atacam nos EUA

Entre janeiro e fevereiro de 2021, os pesquisadores da Proofpoint identificaram cinco campanhas por

Chinês APT TA412, também conhecido como Zircônio, visando jornalistas baseados nos EUA, principalmente aqueles que cobrem a política e a segurança nacional dos EUA durante eventos que ganharam atenção internacional, disseram os pesquisadores.

A forma como as campanhas foram elaboradas dependeu do atual clima político dos EUA, e os atacantes mudaram de alvo dependendo de quais jornalistas cobriam tópicos nos quais o governo chinês tem interesse, disseram.

Uma campanha de phishing de reconhecimento ocorreu nos dias imediatamente anteriores ao ataque de 6 de janeiro ao edifício do Capitólio dos EUA, com os atacantes concentrando-se especificamente na Casa Branca e em correspondentes baseados em Washington durante esse período, disseram eles.

O invasor usou assuntos retirados de artigos de notícias recentes dos EUA relacionados a tópicos políticos pertinentes na época, incluindo ações do ex-presidente Donald Trump, movimentos políticos dos EUA relacionados à China e, mais recentemente, a posição e envolvimento dos EUA na guerra da Rússia contra a Ucrânia, pesquisadores disse.

Cargas Variáveis

Nas campanhas observadas, a Zirconium usou web beacons como carga útil, uma tática consistente com ataques maliciosos. campanhas de ciberespionagem contra jornalistas que a APT realiza desde 2016, disseram os pesquisadores.

Web beacons, comumente chamados de pixels de rastreamento, beacons de rastreamento ou web bugs, incorporam um objeto não visível com hiperlink no corpo de um e-mail que, quando ativado, tenta recuperar um arquivo de imagem benigno de um servidor controlado por um ator.

“Os pesquisadores da Proofpoint avaliam que essas campanhas têm como objetivo validar que os e-mails direcionados estão ativos e obter informações fundamentais sobre os ambientes de rede dos destinatários”, escreveram eles.

Os pesquisadores observaram outro APT apoiado pela China, o TA459, no final de abril de 2022, visando funcionários da mídia no Sudeste Asiático com e-mails contendo um anexo RTF malicioso do Royal Road, se aberto, instalaria e executaria o malware Chinoxy – um backdoor usado para ganhar persistência em um máquina da vítima.

A entidade visada era responsável por informar sobre o conflito Rússia-Ucrânia, o que se alinha com o mandato histórico do TA459 de recolha de informações sobre questões de inteligência relacionadas com a Rússia e a Bielorrússia, observaram os investigadores.

Falsas oportunidades de emprego na Coreia do Norte

Os pesquisadores também observaram o TA404 alinhado à Coreia do Norte – mais conhecido como Lázaro–no início de 2022, visando uma organização de mídia sediada nos EUA com ataques de phishing que pareciam oferecer oportunidades de emprego de empresas respeitáveis ​​para jornalistas, relataram. O ataque lembra um semelhante contra engenheiros que o grupo montou em 2021.

“Tudo começou com phishing de reconhecimento que usava URLs personalizados para cada destinatário”, escreveram os pesquisadores sobre a recente campanha de phishing. “Os URLs representavam um anúncio de emprego com páginas de destino projetadas para se parecerem com um site de anúncios de emprego de marca.”

Os sites eram fraudulentos, no entanto, e os URLs foram armados para transmitir informações de identificação sobre o computador ou dispositivo a partir do qual alguém estava trabalhando, para permitir que o host rastreasse o alvo pretendido, disseram os pesquisadores.

APT apoiado pela Turquia visa credenciais do Twitter

As APTs com alegadas ligações ao governo da Turquia também visaram jornalistas, com uma campanha incluindo um “ator de ameaça prolífico” TA482 observado pela Proofpoint. De acordo com os investigadores, a APT tem visado ativamente jornalistas desde o início de 2022, através de contas no Twitter, num esforço para roubar credenciais principalmente de jornalistas e organizações de comunicação sediados nos EUA.

O motivo por trás do grupo parece ser espalhar propaganda em apoio ao presidente Recep Tayyip Erdogan, o partido político turco no poder, Partido da Justiça e Desenvolvimento, embora isso não possa ser confirmado com certeza, observaram os pesquisadores.

As campanhas usam e-mails de phishing normalmente relacionados à segurança do Twitter – alertando um usuário sobre um login suspeito – para chamar a atenção do destinatário, levando-o a uma página de coleta de credenciais que se faz passar pelo Twitter se clicar em um link.

Credenciais de colheita de APTs iranianos

As APT ligadas ao Irão têm sido particularmente activas nos seus ataques contra jornalistas e jornais, normalmente fazendo-se passar por jornalistas em ataques para se envolverem na vigilância de alvos e obterem as suas credenciais, descobriu a Proofpoint.

Um dos perpetradores mais ativos desses ataques é o TA453, conhecido como Gatinho encantador, um grupo notório alinhado com os esforços de coleta de inteligência da Guarda Revolucionária Islâmica do Irã, disse Proofpoint.

Este grupo é conhecido por se fazer passar por jornalistas de todo o mundo para atingir jornalistas, académicos e pesquisadores igualmente, participando de discussões sobre

política externa ou outros temas relacionados ao Oriente Médio, após o que serão convidados para reuniões virtuais por meio de um PDF customizado, mas benigno.

No entanto, o PDF – normalmente fornecido por serviços de hospedagem de arquivos – quase sempre contém um link para um encurtador de URL e um rastreador de IP que redireciona os alvos para domínios de coleta de credenciais controlados por atores, disseram os pesquisadores.

TA456, também conhecido como Tortoiseshell, é outro ator de ameaça alinhado ao Irã que rotineiramente se apresenta como organização de mídia para atingir jornalistas com e-mails temáticos de boletins informativos contendo web beacons que podem rastrear alvos.

Outro ator patrocinado pelo Estado iraniano, TA457, se esconde atrás da identidade de uma falsa organização de mídia chamada “iNews Reporter” para entregar malware ao pessoal de relações públicas

para empresas localizadas nos Estados Unidos, Israel e Arábia Saudita, disseram os pesquisadores. Entre setembro de 2021 e março de 2022, a Proofpoint observou campanhas do prolífico ator de ameaças que ocorriam aproximadamente a cada duas ou três semanas, disseram eles.

Numa campanha que ocorreu em março de 2022, TA457 enviou um e-mail com o assunto irónico “Guerra Cibernética do Irão” que acabou por lançar um trojan de acesso remoto nas máquinas das vítimas. A campanha foi vista visando endereços de e-mail individuais e de grupo de alguns clientes da Proofpoint envolvidos em energia, mídia, governo e manufatura, relataram pesquisadores.

[Evento sob demanda GRATUITO: Junte-se ao Zane Bond da Keeper Security em uma mesa redonda Threatpost e aprenda como acessar com segurança suas máquinas de qualquer lugar e compartilhar documentos confidenciais de seu escritório em casa. ASSISTA AQUI.]