Începând cu 2021, diverse grupuri de amenințări aliniate la stat și-au transformat în țintirea jurnaliștilor pentru a sifona date și acreditări și, de asemenea, pentru a le urmări.
Atacurile de phishing direcționate sunt urmărite către mai mulți actori de amenințări, care s-au concentrat fiecare în mod independent pe furtul de acreditări și date sensibile și pe urmărirea geolocalizării jurnaliştilor.
Într-un raport de joi al Proofpoint, cercetătorii subliniază eforturile individuale ale grupurilor de amenințări persistente avansate (APT) despre care spun că sunt aliniate cu China, Coreea de Nord, Iran și Turcia. Atacurile au început la începutul anului 2021 și sunt în curs, au spus cercetătorii.
Conform la raport, APT-urile acționează independent unele de altele, dar împărtășesc același obiectiv general de a viza jurnaliștii. Tacticile sunt, de asemenea, similare, actorii amenințărilor care vizează conturile de e-mail și de rețele sociale ca incursiuni de phishing în campaniile de spionaj cibernetic.
Prezentându-se adesea drept jurnalişti, actorii ameninţărilor s-au concentrat pe campanii de phishing cu scopul de a colecta acreditări, furtul de date utile unor regimuri specifice şi supravegherea digitală a jurnaliştilor politici.
APT Tradecraft: Phish
Atacurile implicau de obicei un anumit tip de inginerie socială pentru a coborî garda țintelor pentru a le convinge să descarce și să execute diverse încărcături utile rău intenționate pe dispozitivele lor digitale personale, au spus cercetătorii. Lures au inclus e-mailuri și mesaje trimise prin intermediul diferitelor platforme de socializare pe subiecte legate de domeniul lor de interes politic, au spus cercetătorii.
[Eveniment GRATUIT la cerere: Alăturați-vă Zane Bond de la Keeper Security într-o masă rotundă Threatpost și aflați cum să vă accesați în siguranță mașinile de oriunde și să partajați documente sensibile de la biroul dvs. de acasă. VEZI AICI.]
În diferite situații, atacatorii ar sta jos, după infecția cu malware, pentru a câștiga persistență în rețeaua unui destinatar și pentru a efectua recunoaștere laterală a rețelei și pentru a propaga infecții suplimentare cu malware în rețeaua țintei.
Tacticile secundare au inclus urmărirea sau supravegherea jurnaliştilor. Proofpoint a spus că adversarii au folosit balize web instalate pe dispozitivele jurnaliştilor pentru a efectua supravegherea.
Jurnaliștii au fost vizați înainte, dar nu așa
În timp ce cel mai recent raport urmărește unele dintre cele mai recente activități împotriva jurnaliștilor, vizarea acestui grup de indivizi cu siguranță nu este inedită, având în vedere tipul de informații la care au acces jurnaliștii atunci când vine vorba de probleme politice și socio-economice, au observat ei.
„Actorii APT, indiferent de afilierea lor de stat, au și vor avea întotdeauna mandatul de a viza jurnaliștii și organizațiile media și vor folosi personajele asociate pentru a-și promova obiectivele și prioritățile de colectare”, au scris cercetătorii.
Mai mult, este puțin probabil ca acest accent pe mass-media de către APT să scadă vreodată, ceea ce ar trebui să inspire jurnaliștii să facă tot ce le stă în putință pentru a-și securiza comunicațiile și datele sensibile, au spus ei.
APT-urile susținute de China grevă în SUA
Între ianuarie și februarie 2021, cercetătorii Proofpoint au identificat cinci campanii de către
APT chinezesc TA412, cunoscut și ca zirconiul, care vizează jurnaliştii din SUA, în special pe cei care acoperă politica SUA şi securitatea naţională în timpul evenimentelor care au atras atenţia internaţională, au spus cercetătorii.
Modul în care au fost concepute campaniile depindea de climatul politic actual al SUA, iar atacatorii și-au schimbat ținta în funcție de jurnaliștii care acopereau subiecte în care guvernul chinez este interesat, au spus aceștia.
O campanie de phishing de recunoaștere a avut loc în zilele imediat premergătoare atacului din 6 ianuarie asupra clădirii Capitoliului SUA, atacatorii concentrându-se în mod special asupra corespondenților de la Casa Albă și de la Washington în acest timp, au spus aceștia.
Atacatorul a folosit subiecte extrase din articole de știri recente din SUA legate de subiecte politice pertinente la acea vreme, inclusiv acțiuni ale fostului președinte Donald Trump, mișcări politice americane legate de China și, mai recent, poziția și implicarea SUA în războiul Rusiei împotriva Ucrainei, au spus cercetătorii. a spus.
Sarcini utile variabile
În campaniile observate, Zirconium a folosit ca balize web de încărcare utilă, o tactică compatibilă cu campanii de spionaj cibernetic împotriva jurnaliştilor pe care APT i-a condus din 2016, au spus cercetătorii.
Balizoanele web, denumite în mod obișnuit pixeli de urmărire, balize de urmărire sau bug-uri web, încorporează un obiect nevizibil cu hyperlink în corpul unui e-mail care, atunci când este activat, încearcă să recupereze un fișier imagine benign de pe un server controlat de actor.
„Cercetătorii Proofpoint evaluează că aceste campanii au fost menite să valideze că e-mailurile vizate sunt active și să obțină informații fundamentale despre mediile de rețea ale destinatarilor”, au scris ei.
Cercetătorii au observat un alt APT susținut de chinezi, TA459, la sfârșitul lunii aprilie 2022, care vizează personalul media din Asia de Sud-Est cu e-mailuri care conțin un atașament RTF Royal Road rău intenționat, dacă este deschis, ar instala și executa malware Chinoxy - o ușă din spate care este folosită pentru a câștiga persistență pe un aparatul victimei.
Entitatea vizată a fost responsabilă pentru raportarea conflictului Rusia-Ucraina, care se aliniază cu mandatul istoric al TA459 de a colecta chestiuni de informații legate de Rusia și Belarus, au remarcat cercetătorii.
Oportunități de angajare false din Coreea de Nord
Cercetătorii au observat, de asemenea, TA404 aliniat cu Coreea de Nord - mai bine cunoscut ca Lazăr– la începutul anului 2022, a vizat o organizație media din SUA cu atacuri de tip phishing care păreau să ofere oportunități de angajare de la companii de renume jurnaliști, au raportat ei. Atacul amintește de a unul asemanator împotriva inginerilor pe care grupul i-a montat în 2021.
„A început cu phishingul de recunoaștere care folosea adrese URL personalizate pentru fiecare destinatar”, au scris cercetătorii despre campania recentă de phishing. „Adresele URL au uzurpat identitatea unei postări de locuri de muncă cu pagini de destinație concepute pentru a arăta ca un site de postare de locuri de muncă de marcă.”
Totuși, site-urile erau frauduloase, iar adresele URL erau armate pentru a transmite informații de identificare despre computer sau dispozitivul de care lucra cineva pentru a permite gazdei să țină evidența țintei vizate, au spus cercetătorii.
APT susținut de Turcia vizează acreditările Twitter
APT-urile cu presupuse legături cu guvernul Turciei au vizat, de asemenea, jurnalişti, o campanie incluzând un „actor prolific de ameninţare” TA482 observat de Proofpoint. Potrivit cercetătorilor, APT a vizat în mod activ jurnaliştii de la începutul anului 2022, prin intermediul conturilor de Twitter, în eforturile de a fura acreditări de la jurnaliştii şi organizaţiile media din SUA în principal.
Motivul din spatele grupului pare să fie acela de a răspândi propagandă în sprijinul președintelui Recep Tayyip Erdogan, partidul politic turc de guvernământ, Partidul Justiției și Dezvoltării, deși acest lucru nu poate fi confirmat cu certitudine, au remarcat cercetătorii.
Campaniile folosesc e-mailuri de tip phishing, în mod obișnuit legate de securitatea Twitter, care avertizează un utilizator cu privire la o conectare suspectă, pentru a atrage atenția destinatarului, ducându-l către o pagină de colectare a acreditărilor care uzurpa identitatea Twitter dacă dă clic pe un link.
APT-urile iraniene recoltează acreditări
APT-urile legate de Iran au fost deosebit de active în atacul lor împotriva jurnaliştilor şi ziarelor, pretinzându-se în mod obişnuit drept jurnalişti în atacuri pentru a se angaja în supravegherea ţintelor şi a le recolta acreditările, a descoperit Proofpoint.
Unul dintre cei mai activi autori ai acestor atacuri este TA453, cunoscut ca Pisicuță fermecătoare, A grup notoriu aliniat cu eforturile de colectare de informații ale Corpului Gărzilor Revoluționare Islamice din Iran, a spus Proofpoint.
Acest grup este renumit pentru că se mascară în jurnalişti din întreaga lume pentru a viza jurnalişti, academicieni şi cercetători deopotrivă prin angajarea în discuţii despre
politica externă sau alte subiecte legate de Orientul Mijlociu, după care vor fi invitați la o întâlnire virtuală prin intermediul unui PDF personalizat, dar benign.
Cu toate acestea, PDF-ul - livrat de obicei de la serviciile de găzduire a fișierelor - conține aproape întotdeauna un link către un dispozitiv de scurtare a adreselor URL și un dispozitiv de urmărire IP care redirecționează ținte către domeniile de colectare a acreditărilor controlate de actori, au spus cercetătorii.
TA456, cunoscut și sub denumirea de Carachie țestoasă, este un alt actor de amenințare aliniat Iranului, care se prezintă în mod obișnuit ca organizații media pentru a viza jurnaliștii cu e-mailuri cu tematică de buletine informative care conțin semnalizatoare web care pot urmări ținte.
Un alt actor sponsorizat de stat iranian, TA457, se ascunde în spatele personajului unei organizații media false numită „iNews Reporter” pentru a furniza malware personalului de relații publice.
pentru companiile situate în Statele Unite, Israel și Arabia Saudită, au spus cercetătorii. Între septembrie 2021 și martie 2022, Proofpoint a observat campanii ale prolificului actor de amenințare care au avut loc aproximativ la fiecare două până la trei săptămâni, au spus aceștia.
Într-o campanie care a avut loc în martie 2022, TA457 a trimis un e-mail cu subiectul ironic „Războiul cibernetic al Iranului”, care în cele din urmă a aruncat un troian de acces la distanță pe mașinile victimelor. Campania a fost văzută vizând adrese de e-mail individuale și de grup către o mână de clienți Proofpoint implicați în energie, media, guvern și producție, au raportat cercetătorii.
[Eveniment GRATUIT la cerere: Alăturați-vă Zane Bond de la Keeper Security într-o masă rotundă Threatpost și aflați cum să vă accesați în siguranță mașinile de oriunde și să partajați documente sensibile de la biroul dvs. de acasă. VEZI AICI.]
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://threatpost.com/journalists-target-apts/180224/
- :are
- :este
- :nu
- $UP
- 2016
- 2021
- 2022
- 50
- 700
- a
- Despre Noi
- cadre universitare
- acces
- Conform
- Conturi
- actorie
- acțiuni
- activ
- activ
- activitate
- actori
- Suplimentar
- adrese
- avansa
- După
- împotriva
- aliniat
- Se aliniază
- deopotrivă
- pretins
- permite
- de asemenea
- mereu
- an
- și
- O alta
- oriunde
- a apărut
- apare
- aproximativ
- Aprilie
- APT
- SUNT
- ZONĂ
- armat
- în jurul
- bunuri
- AS
- Asia
- asalt
- evalua
- asociate
- At
- ataca
- Atacuri
- Încercările
- atenţie
- ușă din dos
- BE
- fost
- înainte
- început
- în spatele
- Bielorusia
- între
- corp
- legătură
- atât
- marcă
- gandaci
- Clădire
- dar
- by
- denumit
- Campanie
- Campanii
- CAN
- nu poti
- Capitoliu
- transporta
- cu siguranță
- certitudine
- China
- chinez
- clic
- Climat
- Colectare
- colectare
- vine
- în mod obișnuit
- Comunicații
- Companii
- calculator
- Conduce
- efectuat
- CONFIRMAT
- conflict
- consistent
- conține
- Corp
- acoperire
- fabricat
- CREDENTIALĂ
- scrisori de acreditare
- Curent
- clienţii care
- personalizate
- Cyber
- Ciberespionajul
- de date
- Zi
- livra
- livrate
- În funcție
- proiectat
- Dezvoltare
- dispozitiv
- Dispozitive
- digital
- discuţie
- do
- documente
- domenii
- Donald
- Donald Trump
- Descarca
- scăzut
- în timpul
- fiecare
- Devreme
- Est
- Eforturile
- e-mailuri
- încastra
- apărea
- activat
- energie
- angaja
- captivant
- Inginerie
- inginerii
- entitate
- medii
- Erdogan
- evenimente
- EVER
- Fiecare
- tot
- a executa
- fals
- februarie
- Fișier
- cinci
- Concentra
- concentrat
- concentrându-se
- Pentru
- Fost
- găsit
- necinstit
- din
- fundamental
- mai mult
- Câştig
- dobândită
- dat
- scop
- Guvern
- grup
- Grupului
- Pază
- mână
- recoltare
- recoltat
- Avea
- util
- istoric
- Acasă
- home Office
- gazdă
- găzduire
- casă
- Cum
- Cum Pentru a
- Totuși
- HTTPS
- identificat
- identificarea
- if
- imagine
- imediat
- in
- inclus
- Inclusiv
- independent
- individ
- persoane fizice
- infecţie
- infecţii
- informații
- INFOSEC
- inspira
- instala
- cazuri
- Inteligență
- destinate
- interes
- Internațional
- invitat
- implicat
- implicare
- IP
- Iran
- iranian
- Islamice
- Israel
- probleme de
- IT
- ESTE
- Jan
- ianuarie
- Loc de munca
- Oportunități de locuri de muncă
- alătura
- jurnaliştii
- Justiție
- A pastra
- cunoscut
- Coreea
- aterizare
- paginile de destinație
- Târziu
- Ultimele
- AFLAȚI
- minciună
- ca
- Probabil
- Linie
- linii
- LINK
- situat
- Uite
- arată ca
- Jos
- LOWER
- maşină
- Masini
- mai ales
- malware
- Mandat
- de fabricaţie
- Martie
- materie
- max-width
- Mass-media
- reuniuni
- mesaje
- De mijloc
- Orientul Mijlociu
- mai mult
- cele mai multe
- mișcări
- multiplu
- național
- securitate naționala
- reţea
- ştiri
- Stiri lunare via e-mail
- Presă
- North
- Coreea de Nord
- în special
- notat
- notoriu
- roman
- obiect
- Obiectivele
- observate
- a avut loc
- of
- oferi
- Birou
- on
- La cerere
- ONE
- în curs de desfășurare
- deschis
- Oportunităţi
- or
- comandă
- organizație
- organizații
- Altele
- afară
- schiță
- global
- Prezentare generală
- pagină
- pagini
- în special
- parte
- persistență
- personal
- Personal
- phish
- Phishing
- atacuri de phishing
- campanie de phishing
- Platforme
- Plato
- Informații despre date Platon
- PlatoData
- Politica
- politic
- politică
- ridică
- Post
- preşedinte
- Președintele Donald Trump
- prolific
- Propagandă
- public
- Relatii Publice
- recent
- recent
- menționat
- Fără deosebire
- regimuri
- legate de
- relaţii
- Releu
- reminiscență
- la distanta
- acces de la distanță
- raportează
- Raportat
- Raportarea
- respectabil
- cercetători
- responsabil
- revoluționar
- drum
- în mod obișnuit
- regal
- conducător
- Rusia
- s
- Said
- acelaşi
- Arabia
- Arabia Saudită
- Spune
- sigur
- în siguranță,
- securitate
- văzut
- sensibil
- trimis
- Septembrie
- serverul
- Distribuie
- să
- asemănător
- întrucât
- Din moment ce 2016
- sifonului
- teren
- Centre de cercetare
- Social
- Inginerie sociala
- social media
- platforme de socializare
- unele
- Cineva
- Sud Est
- Asia de Sud-Est
- specific
- specific
- răspândire
- atitudine
- început
- Stat
- Statele
- grevă
- subiect
- a sustine
- supraveghere
- suspicios
- comutate
- tactică
- luare
- Ţintă
- vizate
- direcționare
- obiective
- acea
- lumea
- furt
- lor
- Lor
- se
- Acestea
- ei
- acest
- aceste
- deşi?
- amenințare
- actori amenințători
- trei
- joi
- Legături
- timp
- la
- subiecte
- urmări
- Urmărire
- troian
- atu
- Turcia
- Turcă
- transformat
- stare de nervozitate
- Două
- tip
- tipic
- ne
- Ucraina
- în cele din urmă
- Unit
- Statele Unite
- improbabil
- pe
- URL-ul
- utilizare
- utilizat
- Utilizator
- VALIDA
- diverse
- de
- Virtual
- Întâlniri virtuale
- război
- a fost
- Cale..
- web
- săptămâni
- au fost
- cand
- care
- alb
- Casă albă
- OMS
- voi
- cu
- în
- de lucru
- lume
- ar
- scris
- Ta
- zephyrnet
