Analytiker har avslöjat en Iran-länkad APT som skickar skadliga e-postmeddelanden till israeliska regeringstjänstemän.
En avancerad grupp med ihållande hot, med kopplingar till Iran, tros ligga bakom en nätfiskekampanj riktad mot högprofilerad regering och militär israelisk personal, enligt till en rapport från Check Point Software.
Målen för kampanjen inkluderade en hög ledning inom den israeliska försvarsindustrin, den tidigare amerikanska ambassadören i Israel och den tidigare vice premiärministern i Israel.
Målet med kampanjen, sa forskarna, var att få personlig information från mål.
Falska e-postmeddelanden från legitima adresser
Ett av målen, enligt Check Point, är Tzipi Livni, Israels tidigare utrikesminister, justitieminister och vice premiärminister. Forskare tror att målet valdes på grund av den höga listan över kontakter i hennes adressbok.
För inte så länge sedan fick hon ett mejl från, enligt forskarna, "en välkänd före detta generalmajor i IDF som tjänstgjorde i en mycket känslig position." Avsändaradressen var inte falsk – det var samma domän som hon hade korresponderat med tidigare. Översatt från hebreiska löd meddelandet:
Hej mina kära vänner, Vänligen se bifogad artikel för att sammanfatta året. ((*endast ögon*)) Naturligtvis vill jag inte att den ska distribueras, för det är inte den slutgiltiga versionen. Jag tar gärna emot kommentarer av alla slag. Ha en bra resten av dagen.
Meddelandet innehöll en länk. Livni dröjde med att klicka på länken, vilket ledde till flera uppföljande e-postmeddelanden.
God morgon, jag har inte hört från dig. Några vänner skickade kommentarer till mig. Dina kommentarer är också mycket viktiga för mig. Jag vet att du är väldigt upptagen. Men jag ville be dig att ta dig tid och läsa artikeln. Bra vecka
Avsändarens envishet och mängden meddelanden väckte hennes misstankar, enligt Check Point. Efter att Livni träffat den tidigare generalmajoren stod det klart att mejlen skickades från ett inträngt konto och innehållet i meddelandena var en del av en nätfiskeattack.
Det var en liknande historia för de andra målen i den här kampanjen – misstänkta e-postmeddelanden skickades från legitima kontakter.
Vad hände egentligen
Angreppsmetoden var inte särskilt teknisk. "Den mest sofistikerade delen av operationen är den sociala ingenjörskonsten," konstaterade Sergey Shykevich, gruppchef för hotintelligence på Check Point Research. Han sa att kampanjen var "en mycket riktad nätfiskekedja som är speciellt utformad för varje mål." Personligt skapade nätfiske-e-postmeddelanden är en teknik som kallas spear phishing.
Angriparna startade sina spjutfiskeattacker, först genom att äventyra en e-postadressbok som tillhörde en kontakt till deras mål. Sedan, med hjälp av det kapade kontot, skulle de fortsätta en redan befintlig e-postkedja mellan kontakten och målet. Med tiden skulle de styra konversationen mot att lura målet att klicka på eller öppna en skadlig länk eller ett skadligt dokument.
"Vissa av e-postmeddelandena innehåller en länk till ett verkligt dokument som är relevant för målet", konstaterade Check Points analytiker. Till exempel en "inbjudan till en konferens eller forskning, nätfiskesida på Yahoo, länk för att ladda upp dokumentskanningar."
"Målet" var till slut "att stjäla deras personliga information, passskanningar och stjäla åtkomst till deras e-postkonton."
Vem och varför
"Vi har solida bevis för att det började åtminstone från december 2021," skrev Shykevich, "men vi antar att det började tidigare."
I sin analys fann forskarna bevis som de tror pekar på den Iran-kopplade Phosphorus APT-gruppen (aka Charming Kitten, Ajax Security, NewsBeef, APT35). Fosfor är en av Irans mest aktiv APT:er, med "en lång historia av att genomföra högprofilerade cyberoperationer, i linje med den iranska regimens intressen, samt inriktade på israeliska tjänstemän."
Iran och Israel är vanligtvis motstridiga, och dessa attacker kom "mitt i eskalerande spänningar mellan Israel och Iran. Med den senaste tidens mord på iranska tjänstemän (några anslutna till den israeliska Mossad), och de motverkade försöken att kidnappa israeliska medborgare över hela världen, misstänker vi att fosfor kommer att fortsätta med sina pågående ansträngningar i framtiden.”
