Ұлттық орталық киберқауіпсіздік Ұлыбританияның (NCSC) Ресей мен Ираннан келген хакерлердің тұрақты кибершабуылдары туралы хабарлайды.
Сараптама есебіне сәйкес, SEABORGIUM (aka Callisto Group/TA446/COLDRIVER/TAG-53) және TA453 (aka APT42/Charming Kitten/Yellow Garuda/ITG18) хакерлер топтары мекемелер мен жеке тұлғаларға шабуыл жасау үшін мақсатты фишинг әдістерін пайдаланады. ақпарат жинау.
Бұл екі топ ауызбіршілікте болмаса да, әйтеуір бір-бірінен бөлек болып қалады шабуыл өткен жылы мемлекеттік органдарды, үкіметтік емес ұйымдарды, қорғаныс және білім беру саласындағы ұйымдарды, сондай-ақ саясаткерлер, журналистер мен белсенділер сияқты жеке тұлғаларды қамтитын ұйымдардың дәл осындай түрлері.
Мақсатты фишинг, былайша айтқанда, күрделі әдіс фишинг, шабуылдаушы белгілі бір адамды нысанаға алған кезде және олардың құрбаны үшін ерекше қызығушылық тудыратын ақпарат бар болып көрінген кезде. SEABORGIUM және TA453 жағдайында олар өздерінің мақсаты туралы білу үшін еркін қолжетімді ресурстарды зерттеу арқылы бұған көз жеткізеді.
Екі топ та әлеуметтік желіде жалған профильдер ашып, өздерін жәбірленушілердің таныстары немесе өз саласының мамандары және журналистер ретінде танытқан. SEABORGIUM және TA453 олардың сеніміне ие болу үшін құрбандарымен қарым-қатынас орнатуға тырысатындықтан, әдетте зиянсыз байланыс бар. Сарапшылар бұл ұзақ уақытқа созылуы мүмкін екенін айтады. Содан кейін хакерлер зиянды сілтеме жібереді, оны электрондық поштаға немесе ортақ құжатқа енгізеді Microsoft One Drive немесе Google Drive.
Орталықта киберқауіпсіздік «бір жағдайда [TA453] тіпті қоңырау кезінде чатта зиянды URL мекенжайын бөлісу үшін Zoom қоңырауын ұйымдастырды» деп хабарлады. Сенімділікті арттыру үшін бір фишингтік шабуылда бірнеше жалған сәйкестіктерді пайдалану туралы да хабарланды.
Сілтемелерден кейін әдетте жәбірленушіні шабуылдаушылар басқаратын жалған кіру парағына апарады және олардың тіркелгі деректерін енгізгеннен кейін олар бұзылады. Содан кейін хакерлер электрондық пошталарды, тіркемелерді ұрлау және кіріс электрондық хаттарды тіркелгілеріне қайта бағыттау үшін құрбандарының электрондық пошта жәшіктеріне кіреді. Бұған қоса, олар келесі шабуылдарда жаңа құрбандарды табу және процесті қайтадан бастау үшін бұзылған электрондық поштадағы сақталған контактілерді пайдаланады.
Екі топтың хакерлері мақсатпен алғаш әрекеттескенде жалған идентификаторлар жасау үшін жалпы электрондық пошта провайдерлерінің тіркелгілерін пайдаланады. Олар сондай-ақ заңды болып көрінетін ұйымдар үшін жалған домендер жасады. компаниясынан киберқауіпсіздік 2020 жылдан бері Иранның TA453 тобын қадағалап келе жатқан Proofpoint, негізінен, NCSC тұжырымдарын қайталайды: «[TA453] науқандары бұзу әрекетінен бұрын хакерлер жасаған тіркелгілермен апталап достық сөйлесулерден басталуы мүмкін». Олар сондай-ақ топтың басқа мақсаттарына медициналық зерттеушілер, аэроғарыш инженері, жылжымайтын мүлік агенті және туристік агенттіктер кіретінін атап өтті.
Сонымен қатар, фирма келесі ескерту жасады: «Халықаралық қауіпсіздік мәселелерімен жұмыс істейтін зерттеушілер, әсіресе Таяу Шығыс немесе ядролық қауіпсіздікті зерттеуге маманданған зерттеушілер қажетсіз электрондық хаттарды алған кезде мұқият болу керек. Мысалы, журналистер хабарласқан сарапшылар электрондық пошта мекенжайының заңды репортердікі екеніне көз жеткізу үшін басылымның веб-сайтын тексеруі керек».
Сондай-ақ қызықты: