Аналитики обнаружили связанную с Ираном APT-программу, которая рассылала вредоносные электронные письма высокопоставленным чиновникам израильского правительства.
Считается, что за фишинговой кампанией, направленной против высокопоставленных правительственных и военных израильских служащих, стоит передовая группа постоянных угроз, имеющая связи с Ираном. к отчету Check Point Software.
Целями кампании были высокопоставленные руководители израильской оборонной промышленности, бывший посол США в Израиле и бывший вице-премьер-министр Израиля.
Целью кампании, по словам исследователей, было получение личной информации от целей.
Поддельные электронные письма с законных адресов
Согласно Check Point, одной из целей является Ципи Ливни, бывший министр иностранных дел Израиля, министр юстиции и вице-премьер-министр. Исследователи полагают, что цель была выбрана из-за крупного списка контактов в ее адресной книге.
Не так давно она получила электронное письмо от, по словам исследователей, «известного бывшего генерал-майора Армии обороны Израиля, занимавшего очень важную должность». Адрес отправителя не был подделан — это был тот же домен, с которым она переписывалась раньше. В переводе с иврита сообщение гласило:
Привет, мои дорогие друзья, Пожалуйста, смотрите прикрепленную статью, чтобы подвести итоги года. ((*только глаза*)) Конечно, я не хочу, чтобы она распространялась, потому что это не финальная версия. Буду рад любым замечаниям. Приятного отдыха.
В сообщении была ссылка. Ливни задержалась с переходом по ссылке, что вызвало несколько дополнительных писем.
Доброе утро, я ничего от тебя не слышал. Некоторые друзья прислали мне замечания. Ваши замечания также очень важны для меня. Я знаю, что ты очень занят. Но я хотел попросить вас не торопиться и прочитать статью. Хорошая неделя
По данным Check Point, настойчивость отправителя и шквал сообщений вызвали у нее подозрения. После встречи Ливни с бывшим генерал-майором стало ясно, что электронные письма были отправлены со взломанного аккаунта, а содержание сообщений было частью фишинговой атаки.
То же самое было и с другими целями этой кампании — подозрительные электронные письма отправлялись от законных контактов.
Что произошло на самом деле
Метод атаки не был особенно техническим. «Самая сложная часть операции — это социальная инженерия, — отмечает Сергей Шикевич, руководитель группы анализа угроз Check Point Research. Он сказал, что кампания представляла собой «очень целенаправленную фишинговую цепочку, специально созданную для каждой цели». Лично созданные фишинговые электронные письма — это метод, называемый целевым фишингом.
Злоумышленники инициировали свои целевые фишинговые атаки, сначала скомпрометировав адресную книгу электронной почты, принадлежащую контакту их цели. Затем, используя взломанную учетную запись, они продолжили бы уже существующую цепочку электронной почты между контактом и целью. Со временем они направят разговор к тому, чтобы убедить цель щелкнуть или открыть вредоносную ссылку или документ.
«Некоторые электронные письма содержат ссылку на реальный документ, имеющий отношение к цели», — отмечают аналитики Check Point. Например, «приглашение на конференцию или исследование, фишинговая страница Yahoo, ссылка для загрузки сканов документов».
«Цель», в конце концов, состояла в том, чтобы «украсть их личную информацию, сканы паспортов и украсть доступ к их почтовым аккаунтам».
Кто и почему
«У нас есть веские доказательства того, что это началось как минимум с декабря 2021 года, — написал Шикевич, — но мы предполагаем, что оно началось раньше».
В своем анализе исследователи обнаружили доказательства, которые, по их мнению, указывают на связанную с Ираном группировку Phosphorus APT (также известную как Charming Kitten, Ajax Security, NewsBeef, APT35). Фосфор является одним из иранских самых активный APT с «долгой историей проведения громких киберопераций, соответствующих интересам иранского режима, а также нацеленных на израильских официальных лиц».
Иран и Израиль обычно не в ладах, и эти атаки произошли «в разгар эскалации напряженности между Израилем и Ираном». С недавними убийствами иранских официальных лиц (некоторые из которых связаны с израильским Моссадом) и предотвращенными попытками похищения израильских граждан по всему миру мы подозреваем, что Phosphorous продолжит свои постоянные усилия в будущем».
- блокчейн
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Правительство
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
- зефирнет
